![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Zum Wochenende hatte ich \u00fcber die 'per Hack entwendeten' Kundendaten beim Hoster Domainfactory berichtet. Jetzt wird klar, dass diese Daten, auf Grund eines Fehlers, \u00f6ffentlich per Atom-Feed abrufbar waren. Als Folge konnte ein Angreifer unter Ausnutzung von Sicherheitsl\u00fccken in die Domainfactory-Systeme eindringen und auf weitere Informationen zugreifen.<\/p>\n
<\/p>\n
Domainfactory (DF) ist ein Hoster, der vor einiger Zeit von Host Europe aufgekauft wurde und nun, nach dem Aufkauf von Host Europe, zum US-Anbieter Go Daddy geh\u00f6rt. Ein Unbekannter behauptete letzte Woche, dass er Zugriff auf Kundendaten bzw. die Kundendatenbank sowie auf verschiedene Systeme von Domainfactory habe. Inzwischen gibt es von DF die Best\u00e4tigung, dass es Zugriff auf folgende Kundendaten gab:<\/p>\n
Kundenname
\nFirmenname
\nKundennummer
\nAnschrift
\nTelefonnummer
\nDomainFactory Telefon-Passwort
\nGeburtsdatum
\nBankname und Kontonummer (z.B. IBAN oder BIC)
\nSchufa-Score<\/p>\n
Gegen\u00fcber heise.de hatte der Unbekannte sogar Datens\u00e4tze zur Verifizierung angegeben, die sich als echt entpuppten. Domainfactory (DF) best\u00e4tigte den Hack \u2013 und laut diesem Kommentar<\/a> wurden DF-Kunden per Mail informiert. Der Hoster bat die Kunden, ihre Kennw\u00f6rter f\u00fcr Domainfactory-Konten zur\u00fcckzusetzen und Bankkontoausz\u00fcge zu \u00fcberwachen.<\/p>\n Domainfactory hat vorsorglich auch alle internen Passw\u00f6rter und andere Zugangsdaten der eigenen Mitarbeiter ge\u00e4ndert. Das Ganze ist also wirklich brisant. Ich hatte \u00fcber diese Details im Blog-Beitrag Datenlecks bei Domainfactory und allestechnik.de?<\/a> berichtet.<\/p>\n Nun wird bekannt, dass Kollege Zufall, ein Programmierfehler, eine ungepatchte Sicherheitsl\u00fccke und ungl\u00fcckliche Umst\u00e4nde dazu f\u00fchrten, dass die Kundendaten \u00f6ffentlich per Atom-Feed abrufbar waren. Die Redaktion von heise.de geht hier<\/a> auf die Details ein. Die ganze Geschichte in kurz:<\/p>\n Domainfactory gibt an, dass die Kundendaten aus einem Daten-Feed stammten, der Systemfehler zusammenfasst. Die Kundendaten wurden in den Feed \u00fcbertragen, sobald ein Kunde im Kundenmen\u00fc des Kontos Daten\u00e4nderungen vorgenommen hatte. Der Hintergrund: Beim Speichern der \u00c4nderungen trat dann schlicht ein Fehler auf.<\/p><\/blockquote>\n Doppelt doof: Das Ganze geht auf eine Anpassung bzw. einen Programmierfehler im Hinblick auf die Datenschutzgrundverordnung (DSGVO) zur\u00fcck. Dort sollte in einem Datenbankfeld gespeichert werden, dass der Kunde die DSGVO-Hinweise zur Kenntnis genommen habe. Das betreffende Datenbankfeld war vom Typ Boolean, der zu speichernde Datensatz wies aber einen String auf. Das ging schief und es gab einen Fehler beim Speichern \u2013 die Daten gingen in den Atom-Feed mit den Fehlerdaten. Nur ist niemandem von den Entwicklern und Administratoren dieser Fehler aufgefallen.<\/p>\n Wie heise.de im Artikel<\/a> aber richtig anmerkt, erkl\u00e4rt die oben beschriebene Datenpanne nicht, wieso der der Unbekannte an Kundendaten von Leuten kommen konnte, die sich l\u00e4ngere Zeit nicht beim Hoster am Benutzerkonto angemeldet haben. Ein heise.de-Redakteur hatte beispielsweise ein seit l\u00e4ngerem nicht mehr benutztes Konto bei Domainfactory, dessen Daten der Redaktion zur Pr\u00fcfung zugingen.<\/p>\n heise.de schreibt<\/a>, dass der Unbekannte wohl auf den RSS-Feed stie\u00df und anhand der enthaltenen sensiblen Daten sowie in Kombination mit weiteren Systemfehlern (DirtyCow<\/a>-Angriff auf den Linux-Kernel \u2013 seit 27. November 2017 gibt es einen Patch) in die Systeme des Hosters eindringen konnte. Der heise.de-Artikel zeigt diverse Screenshots von Tweets des Unbekannten, der dort ausf\u00fchrt, was er unternommen hat. Alles in allem eine sehr unsch\u00f6ne Geschichte, die zeigt, was alles schief gehen kann.<\/p>\n","protected":false},"excerpt":{"rendered":" Zum Wochenende hatte ich \u00fcber die 'per Hack entwendeten' Kundendaten beim Hoster Domainfactory berichtet. Jetzt wird klar, dass diese Daten, auf Grund eines Fehlers, \u00f6ffentlich per Atom-Feed abrufbar waren. Als Folge konnte ein Angreifer unter Ausnutzung von Sicherheitsl\u00fccken in die … Weiterlesen Daten wegen Panne als RSS-Feed \u00f6ffentlich<\/h2>\n
Unklarheit \u00fcber den eigentlichen 'Hack'<\/h2>\n