[Diskussion] Hetzner: Kundendaten kompromittiert

[Jesaja]

Nur weil Nagios infiziert ist/war und Kundendaten möglicherweise weg sind, muss das nicht durch eine Handlung passiert sein.
Die Verwaltungsoberfläche "Robot" war auch betroffen.

Zu den möglicherweise strafrechtlichen Handlungen: Wenn wegen deiner Aussage das Forum erstmal down ist, weil die Server beschlagnahmt werden, geht das wohl alle etwas an.
Durch Unterstellungen kommen deine Bankdaten auch nicht wieder.

 

[Joe User]

Bankverbindungsdaten stehen auf nahezu allen geschäftlichen Korrespondenzen und komischerweise passiert dort nix. Warum? Weil man mit Bankverbindungsdaten allein nix anfangen kann.

Bankverbindungsdaten sind keine sensiblen Daten und erstrecht kein Geheimnis, gleiches gilt für Kreditkartendaten. Alles, was auf den jeweiligen Karten aufgedruckt/eingeprägt ist, ist per Definition öffentlich.

So what?

 

[virtual2]

Zu den möglicherweise strafrechtlichen Handlungen: Wenn wegen deiner Aussage das Forum erstmal down ist, weil die Server beschlagnahmt werden, geht das wohl alle etwas an.
Durch Unterstellungen kommen deine Bankdaten auch nicht wieder.

Definiere bitte meine Unterstellung.

 

[Firewire2002]

Definiere bitte meine Unterstellung.

Siehe Beitrag #15 von mir. Ich hatte es dir schon mal erklärt.

 

[virtual2]

- Ich werde mich in diesem Thread nicht weiter zum Thema äußern -

 

[Elradon]

Das ganze war doch keine Unterstellung, sondern eine Frage. Hetzner hat selbst aufgeworfen, das der Dienst unsicher war. Verfolgt man nun diese Theorie, ist es doch nur logisch mal zu fragen, warum der Dienst dann direkt auf die Kundendaten zugreifen hätte können. Wir sind hier doch in einem Diskussionforum, oder nicht? Eine "richtige / konstruktive" Antwort wäre dann imho gewesen, dass man über den Dienst wahrscheinlich eben nicht direkt auf die Kundendaten hatte zugreifen können, sondern noch weitere Sicherheitslücken hätte ausnutzen müssen.

Anmerkung: es ist äußerst unwahrscheinlich, dass aufgrund so einer Äußerung dieses Forum gesperrt würde. Zum einen, weil hier ein vernünftiges Impressum liegt, worüber direkt mit den Betreiber Kontakt aufgenommen werden kann und damit gar nicht notwendig ist, den Anbieter des Servers zu kontaktieren. Zum anderen hat Hetzner (bei denen wir das Forum doch gehostet?) ein ausgezeichnetes Abuse-Management hat, und sie kaum einen eigenen Kunden einfach abschalten werden, wenn sie dies schon nicht bei Aufforderungen durch Dritte machen. Zumal Hetzner offensichtlich gewillt ist, offen mit diesem Thema umzugehen.

 

[Joe User]

Hetzner hat selbst aufgeworfen, das der Dienst unsicher war.

Wann und wo bitte?

 

[Elradon]

Gleich im ersten Satz ~.~

 

[trik]

Gleich im ersten Satz ~.~

Ende letzter Woche haben Hetzner-Techniker eine "Backdoor" in einem unserer internen Überwachunssysteme (Nagios) entdeckt.

Quelle:

Hetzner: Kundendaten kompromittiert

Sehr geehrter Kunde, Ende letzter Woche haben Hetzner-Techniker eine "Backdoor" in einem unserer internen Überwachunssysteme (Nagios) entdeckt. Die sofort eingeleiteten Untersuchungen zeigten, dass auch die Verwaltungsoberfläche für dedizierte Server (Robot) davon betroffen war. Aktuelle...

serversupportforum.de

Ich verstehe das eher so, dass ihnen aufgefallen ist, dass da plötzlich etwas war, was da nicht sein sollte und darauf hin der Einbruch aufgefallen ist, also dass eine Veränderung von Nagios der Auslöser für die Untersuchungen war.

 

[aiko]

Alles, was auf den jeweiligen Karten aufgedruckt/eingeprägt ist, ist per Definition öffentlich.

So what?

Magst du mir dann mal bitte deine Kreditkartennummer, das Verfallsdatum, deinen Namen und den Security Code bitte geben?

Vielen Dank

P.S: Wenn die Daten auf den Kreditkarten so öffentlich wären, dann würde es wohl kaum einen solch florierenden Schwarzmarkt geben...

 

[Joe User]

Magst du mir dann mal bitte deine Kreditkartennummer, das Verfallsdatum, deinen Namen und den Security Code bitte geben?

a) Ich bin Barzahler und habe keine Kreditkarte.
b) Es stehen weder CVC1/CVV1 noch PIN aussen auf der Karte.

Ohne CVC1/CVV1 (und PIN, je nach Szenario) sind die Kreditkartendaten schlicht wertlos.
Keine von Beiden war bei Hetzner gespeichert, also haben die Angreifer (wenn überhaupt) nur wertlose Daten.

 

[Mr.Check]

b) Es stehen weder CVC1/CVV1 noch PIN aussen auf der Karte.

Wo nutzt man denn heute noch CVC1? Ich habe bisher nie was anderes als die CVC2 gebraucht (bzw. CID bei AmEx) und die steht sehr wohl auf der Karte.

Das mit den Daten, die auf geschäftlicher Korrespondenz stehen, kein (naja sagen wir mal lieber wenig) Unfug getrieben wird ist logisch. Diese ist ja gerade nicht öffentlich (ich kommuniziere mit meinen Geschäftspartnern nicht per Aushang im Rathaus oder Bundesanzeiger)...

Aber wenn Bank- und Kreditkartendaten ohnehin per Definition öffentlich sind, frage ich mich, warum diese Meldung von hetzner überhaupt eine Erwähnung wert ist..

 

[yago]

Wo nutzt man denn heute noch CVC1? Ich habe bisher nie was anderes als die CVC2 gebraucht (bzw. CID bei AmEx) und die steht sehr wohl auf der Karte.

Eben, zum Zahlen benötigt man nur Kartennummer, Ablaufdatum, und CVC2. (und manchmal noch den SecureCode, aber eben nicht immer)
Und das steht alles auf der Karte.
Die paar mal wo ich online mit CC bezahlt habe, habe ich ausschließlich Daten verwenden müssen, die auf meiner Karte stehen.

 

[Thorsten]

Hallo!

Aber die CVC2 steht IMHO nicht in der Datenbank von Hetzner.

mfG
Thorsten

 

[gOOvER]

a) Ich bin Barzahler und habe keine Kreditkarte.
b) Es stehen weder CVC1/CVV1 noch PIN aussen auf der Karte.

Ohne CVC1/CVV1 (und PIN, je nach Szenario) sind die Kreditkartendaten schlicht wertlos.
Keine von Beiden war bei Hetzner gespeichert, also haben die Angreifer (wenn überhaupt) nur wertlose Daten.

Du solltest Dich evtl mal besser infomieren (oder Dir ne Kreditkarte zulegen), den Deine Aussagen sind schlichtweg falsch.

 

[Mr.Check]

Hallo!

Aber die CVC2 steht IMHO nicht in der Datenbank von Hetzner.

mfG
Thorsten

Das ist sicherlich richtig. Es ging nur um die Behauptung, dass alles was auf einer Kreditkarte steht "per Definition" öffentlich ist. Und das ist es ebenso sicherlich nicht

 

[Mr.Check]

Du solltest Dich evtl mal besser infomieren (oder Dir ne Kreditkarte zulegen), den Deine Aussagen sind schlichtweg falsch.

Ne, bezüglich CVC1 hat er recht, aber CVC1 hat m.E. heute keine Relevanz mehr, sodass die Aussage wertlos ist.

 

[Thorsten]

Hallo!

Ohne CVC / CVC2 sind die Daten mehr oder weniger wertlos. Zumindest wenn sie a) in den wirklich relevanten Kreisen gehandelt werden sollen oder b) im Laufe der Zeit komplettiert werden.

Wobei ich fast glaube, dass sich im Falle Hetzner der Aufwand für b) nicht wirklich lohnt - dafür sind es wahrscheinlich zu wenig CC Sätze.

mfG
Thorsten

 

[Joe User]

Wenn Ihr die Eurer Meinung nach hochsensiblen Kartendaten nicht in fremden Händen wissen wollt, wieso habt Ihr dann überhaupt eine KK und noch viel schlimmer, warum bezahlt Ihr auch noch damit? Womöglich gebt Ihr die Karte so gar noch aus der Hand, weils bequemer ist?

Ihr müsstet bei Eurer Paranoia ja nach jedem einzelnen Bezahlvorgang, oder wenn irgendjemand auch nur ansatzweise einen Blick auf Eure Karte hätte erhaschen können, umgehend die Karte sperren lassen müssen.



Zurück zum Thema:
Zitat Hetzners Infomail:

Bei Kreditkarten werden in unseren Systemen nur die letzten 3 Ziffern der Kartennummer, der Kartentyp und das Ablaufdatum der Karte gespeichert. Alle anderen Kartendaten werden ausschließlich von unserem Zahlungsdienstleister gespeichert, und über eine Pseudokartennummer referenziert.

Damit lässt sich jetzt konkret genau was anstellen?

 

[Joe User]

Ne, bezüglich CVC1 hat er recht, aber CVC1 hat m.E. heute keine Relevanz mehr, sodass die Aussage wertlos ist.

CVC1 wird an Automaten/Terminals nach wie vor geprüft.