Der Domainfactory-Hacker hat wieder zugeschlagen: Dieses Mal hat er eine Kundendatenbank des Providers A1 Telekom Austria erbeutet. Der Provider bestätigt den Hackerangriff und hat seine Kunden informiert.

In der Datenbank, die heise online in Auszügen vorliegt, sind Namen, Telefonnummern, E-Mail-Adressen und Kundenpasswörter im Klartext gespeichert. Wie viele Kunden der Telekom Austria genau betroffen sind, teilte uns der Konzern nicht mit – es dürfte sich bei den Opfern allerdings nur um Nutzer des Webhosting-Angebots der Firma handeln. Die Telekom Austria AG ist nicht mit der Deutschen Telekom verbandelt; der Konzern gehört zu Teilen dem mexikanischen Telekommunikationsunternehmen América Móvil, der Republik Österreich und Privateignern.

Angreifbare Hoster-Datenbank? Nein! Doch! Ohh!

Endeckt hatte A1 den Angriff, nachdem heise online die Firma über die Schwachstelle in ihren Systemen informiert hatte. Nachdem der mutmaßliche Domainfactory-Hacker auf Twitter über einen neuen Angriff seinerseits berichtet hatte, ließen wir uns einen Auszug aus der Datenbank schicken und informierten nach Prüfung der Kundendaten den Hoster.

Die Sicherheitsabteilung der Telekom Austria reagierte schnell, fand den Server und konnte nach einigen Versuchen die Sicherheitslücke stopfen. Währenddessen hatte der Hacker den Hoster auf Twitter öffentlich wegen dessen veralteter Technik und mangelnder Sicherheitsvorkehrungen verhöhnt.

Der Domainfactory-Hacker ist weiterhin auf freiem Fuß: Auf Twitter berichtet er über seinen neuesten Streich. (Bild: Fabian A. Scherschel / heise online)

Auf Anfrage teilte uns A1 mit, dass "eine nicht näher spezifizierte Datenbank" auf einem Server eines "Privatkunden-Dienstes zur Webseiten-Erstellung" angegriffen worden sei. Dieser Dienst sei, so der Hoster, seit 2011 nicht mehr verkauft worden. Man habe die verwundbaren Systeme nun vom Netz genommen. "Die Passwörter werden derzeit vorsorglich zurückgesetzt und die Kunden werden schriftlich informiert", so A1. Man bedauere den Vorfall und kooperiere deswegen bereits mit der zuständingen Datenschutzbehörde.

Keine Konsequenzen nach Domainfactory-Hack

Der unbekannte Hacker, der hinter dem Angriff auf die österreichische Telekom steckt, war zuerst im Zuge eines Datenlecks beim deutschen Hoster Domainfactory ins Licht der Öffentlichkeit getreten. Nachdem er den Anbieter gehackt und eine Kundendatenbank abgezogen hatte, wies der Angreifer die Firma in ihrem eigenen Support-Forum darauf hin. Dieses Forum wurde daraufhin offline genommen – es ist seit diesem Angriff Anfang Juli abgeschaltet. Als Reaktion legte der mutmaßliche Hacker ein Twitter-Konto an und begann, öffentlich über den Hack zu schreiben.

Auszüge aus der A1-Kundendatenbank, die der Hacker erbeutete: Unter anderem enthält sie die Klartext-Passwörter der Nutzer. (Bild: Fabian A. Scherschel / heise online)

Nach eigenen Angaben hatte der Hacker Domainfactory angegriffen, weil er es auf den Server eines bestimmten Kunden abgesehen hatte, der ihm Geld schuldete. Die Kundendatenbank sei ihm demnach nur als Beifang ins Netz gegangen. Wie das mit dem aktuellen Angriff auf A1 zusammenpasst, ist schwer einzuschätzen. Jedenfalls liegen heise online keine Hinweise darauf vor, dass Inhalte der Domainfactory-Datenbank öffentlich gemacht wurden oder auch sonst wie in die Hände von Dritten gelangt sind.

Domainfactory hatte uns Anfang September mitgeteilt, man untersuche den ersten Angriff des Hackers nach wie vor und könne zu diesem Zeitpunkt keine Informationen über die laufenden Ermittlungen herausgeben. Informationen aus Polizei-Kreisen, die heise online vorliegen, legen nahe, dass man den Hacker bisher nicht geschnappt hat. Es scheint also plausibel, dass ein- und dieselbe Person für die Angriffe auf Domainfactory und A1 Telekom Austria verantwortlich ist. (fab)