From: security-mailing@hetzner.deReply-To: security-mailing@hetzner.deDate:

1. From: security-mailing@hetzner.de
2. Reply-To: security-mailing@hetzner.de
3. Date: Thu, 06 Jun 2013 16:58:29 +0200
4.  
5.  
6. Sehr geehrter Kunde,
7.  
8. Ende letzter Woche haben Hetzner-Techniker eine "Backdoor" in einem unserer
9. internen Überwachunssysteme (Nagios) entdeckt.
10.  
11. Die sofort eingeleiteten Untersuchungen zeigten, dass auch die Verwaltungs-
12. oberfläche für dedizierte Server (Robot) davon betroffen war. Aktuelle
13. Erkenntnisse legen den Schluss nahe, dass Fragmente unserer Kundendatenbank
14. nach extern kopiert wurden.
15.  
16. Infolge dessen müssen wir derzeit die bei uns im Robot hinterlegten
17. Kundendaten als kompromittiert betrachten.
18.  
19. Der von uns entdeckte Schädling ist nach unserem Kenntnisstand bisher
20. unbekannt und noch nicht in Erscheinung getreten.
21.  
22. Der im Backdoor eingesetzte Schadcode setzt sich ausschließlich im
23. Arbeitsspeicher fest. Eine erste Analyse lässt vermuten, dass der Schadcode
24. direkt im laufenden Apache- und sshd-Prozess eingeschleust wird. Dabei werden
25. weder die Binaries des kompromittierten Dienstes modifiziert, noch wird der
26. betroffene Dienst durch die Infektion neu gestartet.
27.  
28. Übliche Analysetechniken, wie das Prüfen von Checksummen oder Tools wie
29. "rkhunter" können die Schadsoftware deshalb nicht aufspüren.
30.  
31. Zur detaillierten Analyse des Vorgangs haben wir eine externe Sicherheitsfirma
32. beauftragt, unsere eigenen Administratoren zu unterstützen. Zum jetzigen Stand
33. sind die Analysen über den Vorgang noch nicht abgeschlossen.
34.  
35. Die Zugangspasswörter für Ihren Robot-Kundenaccount werden als Hash (SHA256)
36. unter Verwendung eines Salt in unserer Datenbank abgelegt. Zur Sicherheit
37. empfehlen wir, Ihre Kundenpasswörter im Robot auszutauschen.
38.  
39. Bei Kreditkarten werden in unseren Systemen nur die letzten 3 Ziffern der
40. Kartennummer, der Kartentyp und das Ablaufdatum der Karte gespeichert.
41. Alle anderen Kartendaten werden ausschließlich von unserem Zahlungsdienstleister
42. gespeichert, und über eine Pseudokartennummer referenziert. Deshalb sind nach
43. unserem bisherigen Kenntnisstand keine Kreditkartendaten kompromittiert.
44.  
45. Hetzner-Techniker arbeiten permanent daran, mögliche Sicherheitslücken zu
46. lokalisieren und zu unterbinden sowie unsere Systeme und Infrastruktur so
47. sicher wie möglich zu halten. Das Thema Datenschutz hat für uns eine sehr
48. hohe Priorität. Um die Aufklärung weiter voranzutreiben, haben wir diesen
49. Vorfall der zuständigen Datenschutzbehörde gemeldet.
50.  
51. Darüber hinaus stehen wir bezüglich dieses Vorfalls mit dem Bundeskriminalamt
52. in Kontakt.
53.  
54. Selbstverständlich werden wir Sie bei neuen Erkenntnissen umgehend informieren.
55.  
56. Wir bedauern den Vorfall außerordentlich und bedanken uns für Ihr Verständnis
57. und Ihr Vertrauen.
58.  
59. Sollten Sie Fragen dazu haben, so werfen Sie bitte einen Blick auf unsere
60. speziell dafür eingerichtete FAQ-Seite unter
61. http://wiki.hetzner.de/index.php/Security_Issue
62.  
63. Mit freundlichen Grüßen
64.  
65. Martin Hetzner
66.  
67. Hetzner Online AG
68. Stuttgarter Str. 1
69. 91710 Gunzenhausen
70. Tel: 09831 61006-1
71. Fax: 09831 61006-2
72. security-mailing@hetzner.de
73. http://www.hetzner.de
74.  
75. Registergericht Ansbach, HRB 3204
76. Vorstand: Dipl. Ing. (FH) Martin Hetzner
77. Aufsichtsratsvorsitzende: Diana Rothhan