Nachdem die Host-Europe-Tochter Domainfactory die Kontrolle über Daten einer unbekannten Anzahl ihrer Kunden verloren hat, kommt langsam Licht ins Dunkel des Falles. Bei dem von Domainfactory als "Datenpanne" deklarierten Zwischenfall sind nicht nur brisante Kundendaten abhanden gekommen, der Angreifer hatte auch Zugriff auf mehrere Systeme im Netz der Firma. Deshalb wurden vorsorglich alle internen Passwörter und andere Zugangsdaten der eigenen Mitarbeiter geändert.

XML-Feed mit Kundendaten in aller Öffentlichkeit abrufbar

In einer zweiten E-Mail an die eigenen Kunden nach Bekanntwerden des Datenlecks bestätigt Domainfactory, was heise online nach eigenen Recherchen bereits berichtet hatte: Der Angreifer hatte nicht nur Zugriff auf öffentlich im Netz geleakte Kundendaten, sondern auch auf interne Systeme des Hosters. Die Kundendaten stammen laut Domainfactory aber aus einem Daten-Feed, der Systemfehler zusammenfasste. Demnach landeten Kundendaten in dem Feed, wenn ein Kunde Änderungen an seinen Daten im Kundenmenü vorgenommen hatte, weil im Zuge der Speicherung ein Fehler auftrat.

Auszug aus dem Atom-Feed mit Domainfactory-Kundendaten. Gut zu sehen: Der Fehler beim Speichern der Kenntnisnahme einer Erklärung zur DSGVO (engl. GDPR). (Bild: Fabian A. Scherschel / heise online)

Da uns Kopien von Teilen des beschriebenen Atom-Feeds vorliegen, können wir diesen Teil der Domainfactory-Stellungnahme bestätigen. Ironischerweise war gerade das Feld, das die Kenntnisnahme des Kunden zur DSGVO-Erklärung des Kunden speichern sollte das Problem – es erwartete Daten des Typs Boolean, wurde aber mit einem String befüllt.

Hacker hatte wohl noch mehr Zugang zu Domainfactory-Systemen

Das erklärt allerdings nicht, wie der unbekannte Angreifer in den Besitz der Daten von Kunden kam, die sich seit über einem Jahr nicht mehr in ihr Domainfactory-Konto eingeloggt haben. Auch solche Daten aus dem Besitz des Angreifers liegen heise online vor. Auf Twitter behauptet der mutmaßliche Angreifer, er habe sich von dem Atom-Feed mit den Systemfehlern weiter auf interne Systeme des Hosters gehangelt. An Hand der sensiblen Informationen, die sonst noch in dem Atom-Feed zu finden sind, scheint das durchaus plausibel. Zumal ja auch Domainfactory in seiner neuesten E-Mail an die Kunden zugibt, "weitere Systeme gefunden" zu haben, "auf die derselbe Angreifer zugegriffen hat."

Der mutmaßliche Hacker gibt über Twitter Details des Angriffs preis. (Bild: Fabian A. Scherschel / heise online)

In seiner Stellungnahme schreibt der Hoster, man gehe davon aus, "dass der unbefugte Zugriff durch eine Einzelperson erfolgte." Wie Domainfactory zu dieser Einschätzung kommen konnte, wenn der XML-Feed mit den Kundendaten öffentlich im Netz stand und von jedem hätte entdeckt und abgerufen werden können, ist unklar. Ob der Atom-Feed-Unfall in Zusammenhang mit einer Verschiebung von Teilen der Domainfactory-Infrastruktur zu einem Dienstleister in die Ukraine steht, ist ebenfalls noch offen. Eine Anfrage zu den Details des Angriffs hat der Hoster bisher nicht beantwortet. (fab)