[English]Am Freitag, den 23. August 2019, wurde bekannt, dass der Internethoster Hostinger alle Kunden-Passwörter zurücksetzt. Es gab einen Hack dieses Hosters.
Anzeige
Hostinger ist ein Hoster und Internet Registrar, der seit 2004 tätig ist. Laut diesem Wikipedia-Artikel hat Hostinger über 29 Millionen Nutzer und ist übrigens der Mutterkonzern des vor einige Zeit gehackten Free-Hosters 000webhost. In Deutschland ist Hostinger mit 'günstigen Internet-Hosting-Angeboten' unterwegs.
Hack bei Hostinger
Ich bin gerade über einige Tweets gestolpert, in denen vom Hack des Hosters berichtet wird. Hier ein Screenshot der Meldung über den Hack.
Ergänzung: Tweets zum Data-Breach wurden wohl gelöscht.
Laut nachfolgenden Tweet von Catalin Cimpanu setzt Hostinger gerade die Passwörter seiner Kunden zurück, weil Hacker Zugriff auf interne Server hatten. Über diese Server erfolgte wohl die Verwaltung der Hosting-Pakete. Die Hacker habe eine Datenbank mit den Daten von 14 Millionen Kunden abgefragt.
Data potentially exposed:
– names
– Hostinger usernames
– IP addresses
– home addresse
– emails
– phone numbers
– hashed passwords— Catalin Cimpanu (@campuscodi) August 25, 2019
Obiger Tweet wurde ebenfalls gelöscht.
Laut dem CEO von Hostinger ist es wohl schwierig herauszufinden, wie viele Kunden von diesem Hack genau betroffen wurden. Hier der Wortlaut einer E-Mail an ZDNet, die Cimpanu auf Twitter veröffentlicht hat.
Anzeige
Den Hacker ist es gelungen, den zentralen API-Server zu kompromittieren. Damit konnten die Hacker direkt die Datenbankeinträge abrufen. Diese Zugriffe wurden aber offensichtlich nicht protokolliert. Laut Hostinger haben die Hacker aber keinen Zugriff auf Finanzdaten wie Konten oder Kreditkarten erhalten. Details lassen sich in diesem ZDNet-Beitrag nachlesen. Ergänzung: Einen weiteren Beitrag gibt es bei Bleeping Computer.
Anzeige
Nach meinem Verständnis war die Authentifizierung für den Zugriff auf die Datenbank nur ungenügend abgesichert. Dadurch wurde der Datenklau erst möglich.
Und nur die Passwörter zurück setzen hilft jetzt auch nicht mehr viel. Die Daten sind ja schon in falschen Händen.
Dies macht kriminelle weitere Attacken möglich, darauf können die Betroffenen schon warten.
Ist schon 'lustig', schaut man sich bei Hostinger mal um, man könnte glauben in einem schrägen Gewinnspiel zu sein. Die Werbesprüche würde ich so eher in Spam-/Phishingmails erwarten. "Glückwünsche! Sie sind für eine kostenlose Domain berechtigt!"
Mal deren Angebote angeschaut, steht dann da der Folgende Satz bei der Bestellung: "Wir verarbeiten Ihre personenbezogenen Daten zur Erfüllung Ihrer Bestellung und zu anderen Zwecken gemäß unserer Privacy Policy."
Hmmm, zu anderen Zwecken… Mal in die "Privacy Policy" geschaut – ja nee ist klar. Denke mal die haben jeglichen Spott verdient. Worauf sie ihre vergünstigten Preise beziehen steht erst garnicht da, man kann bestenfalls raten. Mein Gesamteindruck: Unseriös – Finger weg von diesem Laden.
"Unseriös – Finger weg von diesem Laden."
Was anderes lässt die Meldung auch nicht wirklich zu.
hostinger de lieferte vorübergehend nur eine leere Seite, scheinen wohl noch größere Probleme zu haben.