erst Hetzner und jetzt OVH

Status
Not open for further replies.
D

DJTobi

New Member
Guten Tag,

Wir möchten Sie darüber in Kenntnis setzen das die Sicherheit unseres
internen Netzwerkes im Hauptsitz der OVH kompromittiert wurde.

Wir haben sofort alle nötigen Sicherheitsmaßnahmen getroffen und eine
genaue Überprüfung des Vorfalls eingeleitet.
Es besteht die Möglichkeit das der Datenbankbestand der europäischen
Kunden illegal kopiert wurde.
Diese Datenbank enthält: Nachname, Vorname, Kundenkennung, Straße,
Ort, Land, Telefonnummer, Faxnummer und das verschlüsselte Passwort.

Kreditkarteninformationen sind nicht betroffen da diese nicht bei OVH
gespeichert oder registriert sind.


Auch wenn die Verschlüssung der Passwörter sehr sicher ist, bitten wir
Sie dennoch schnellstmöglich ihr Passwort
zu ändern.

Weitere Informationenl finden Sie unter:
http://status.ovh.de/?do=details&id=5070


Bei Fragen stehen wir Ihnen jederzeit gerne zur Verfügung. Hilfreiche Informationen zu OVH
und unseren Produkten finden Sie außerdem auch unter: http://www.ovh.de/support/.

Mit freundlichen Grüßen

Ihr OVH Kundendienst

Telefon: +49(0)681 906730 (Ortsnetztarif)
Fax: +49(0)681 876 1827
E-Mail: kundendienst@ovh.de
Web: www.ovh.de

Servicezeiten:
Mo-Fr 8:00 Uhr bis 20:00 Uhr
Sa 13:30 Uhr bis 17:30 Uhr

OVH GmbH, Dudweiler Landstraße 5, 66123 Saarbrücken

Sitz: Saarbrücken, Geschäftsführer: Henryk Klaba
Handelsregister beim Amtsgericht: Saarbrücken, Handelsregister-Nummer: HRB 15369
 
Deine Mail da sagt doch nichts aus. Die erste Mail war informativer. ;)

OVH Mailinglist said:
Guten Tag,

vor einigen Tagen haben wir festgestellt, dass die Sicherheit unseres Netzwerks am Standort
Roubaix beeinträchtigt wurde. Unsere internen Untersuchungen haben ergeben, dass es einem
Hacker gelungen ist, Zugriff auf den E-Mail-Account eines unserer Systemadministratoren zu
erlangen. Dieser E-Mail Zugang hat es ihm erlaubt, sich Zugriff auf das interne VPN eines
anderen Mitarbeiters zu verschaffen. Diesen VPN Zugang hat er dann genutzt, um die
Zugangsdaten eines der für das interne Backoffice zuständigen Systemadministratoren zu
missbrauchen.

Bis zu diesem Zeitpunkt basierte die interne Sicherheit auf 2 Überprüfungsebenen:
- Die Quell-IP: man muss sich entweder an einem der OVH Standorte befinden oder das interne
VPN verwenden
- Das persönliche Passwort

Wir haben nach diesem Zwischenfall folgende Massnahmen ergriffen:
-----------------------------------------------------------------
Nach dem Zwischenfall haben wir unverzüglich die internen Sicherheitsregeln verschärft:
- Die Passwörter aller Mitarbeiter für alle Zugänge wurden geändert.
- Wir haben ein neues VPN mit sehr restriktiven Zugängen in einem nach den Anforderungen der
PCI-DSS Norm gesicherten Saal eingerichtet.
- Der Zugriff auf interne E-Mails ist nun nur noch an einem der OVH Standorte oder vom
internen VPN aus möglich.
- Sämtliche Mitarbeiter mit kritischen Zugängen werden auf 3 Überprüfungsebenen umgestellt:
- Die Quell-IP
- Das persönliche Passwort
- Ein persönliches Hardware-Token (YubiKey)

Bilanz:
-------
Während der internen Untersuchungen zu diesem Sicherheitsvorfall haben wir festgestellt, dass
der Hacker die privilegierten Zugänge wahrscheinlich ausgenutzt hat, um 2 Aktionen
auszuführen:
- Die Datenbank unserer Kunden in Europa abzurufen
- Sich Zugang zum Installationssystem der Server in Québec zu verschaffen

Die Datenbank der Kunden in Europa enthält die persönlichen Angaben der Kunden: Name, Vorname,
Kundenkennung, Adresse, Stadt, Land, Telefon, Fax und das verschlüsselte Passwort.
Die Verschlüsselung des Passworts erfolgt mit "salted" SHA512, um Brute Force Angriffe zu
verhindern. Es erfordert umfangreiche technische Ressourcen, das Passwort im Klartext
herauszufinden. Aber es ist möglich. Deshalb empfehlen wir Ihnen, dass Passwort Ihrer
Kundenkennung umgehend zu ändern.
Wir werden auch eine E-Mail an alle unsere Kunden versenden, in der wir den Sicherheitsvorfall
erklären und sie auffordern, ihr Passwort zu ändern.
Informationen zu Kreditkarten werden nicht bei OVH gespeichert, diese wurden weder abgerufen
noch kopiert.

Bezüglich des Auslieferungssystems für die Server in Québec haben wir folgendes Risiko
ausgemacht: wenn ein Kunde unseren SSH Key nicht von seinem Server entfernt hat bestand die
Möglichkeit, dass der Hacker sich von unserem System aus mit dem Server verbindet, um das in
der .p Datei gespeicherte Passwort auszulesen. Der SSH Key kann nicht von einem anderen Server
aus verwendet werden, sondern ausschliesslich von unserem Backoffice in Québec aus. Bei den
Kunden, die unseren SSH Key nicht entfernt und das root-Passwort nicht geändert haben, haben
wir unverzüglich das Passwort der Server im Rechenzentrum BHS geändert, um diese Möglichkeit
zu unterbinden. Wir werden heute eine E-Mail mit dem neuen Passwort an diese Kunden versenden.
Der SSH Key wird ab sofort bei allen Servern in Québec und Europa nach deren Auslieferung
standardmässig gelöscht. Wenn ein Kunde OVH im Rahmen des Supports Zugriff gewähren möchte,
muss er einen neuen SSH Key installieren.

Wir werden unser gesamtes Backoffice in den nächsten Monaten an den Anforderungen der PCI-DSS
Norm ausrichten. Dadurch können wir garantieren, dass ein Hack bestimmter Personen keine
Auswirkungen auf unsere Datenbanken hat.
Kurz gesagt, wir waren nicht paranoid genug und heben nun unser Sicherheitslevel drastisch an.
Das Ziel dabei ist, die Sicherheit Ihrer Daten zu garantieren und uns gegen Industriespionage
abzusichern, die auf bei OVH arbeitende Personen abzielt.

Wir haben ausserdem Strafanzeige bei den Justizbehörden gestellt. Um die Arbeit der Ermittler
nicht zu beeinträchtigen werden wir bis zum Abschluss der Ermittlungen keine weiteren Details
veröffentlichen.

Wir entschuldigen uns bei Ihnen für diesen Vorfall.
Vielen Dank für Ihr Verständnis.

Mit freundlichen Grüßen
Click to expand...

Edit:
Ich seh gerade, es gibt schon einen Thread dazu:

Kundendaten OVH kompromittiert

Hallo liebes Forum, das kam gerade per Mail reingeflogen: Guten Tag, Wir möchten Sie darüber in Kenntnis setzen das die Sicherheit unseres internen Netzwerkes im Hauptsitz der OVH kompromittiert wurde. Wir haben sofort alle nötigen Sicherheitsmaßnahmen getroffen und eine genaue Überprüfung...
serversupportforum.de serversupportforum.de
 
Last edited by a moderator:
Ich bin dafür das man diesen Thread schließt, da ein früheres Thema darüber bereits gibt -> Kundendaten OVH kompromittiert

Und sogar bereits mehrere Antworten gibt, und laut Betreff handelt es sich zwar auch um hetzner. Aber im Beitrag selbst wird nur OVH angesprochen.
 
Last edited by a moderator:
Manu said:
Und sogar bereits mehrere Antworten gibt, und laut Betreff handelt es sich zwar auch um hetzner. Aber im Beitrag selbst wird nur OVH angesprochen.
Click to expand...

Da steht:
erst Hetzner und jetzt OVH
und damit ist gemeint, dass vor ein paar Monaten erst Hetzner gehackt wurde, und jetzt halt OVH
 
Betreff handelt es sich zwar auch um hetzner
Click to expand...
von mir

Und was auch von mir ist
Aber im Beitrag selbst wird nur OVH angesprochen.
Click to expand...

Spricht, Es wird enddefekt nur von OVH erwähnt. Mehr aber auch nicht.

Vorallem, ob nun Hetzner oder OVH. Das problem ist das selbe und braucht somit hier nicht doppelt durch diskutiert werden.
 
Last edited by a moderator:
Thread geschlossen, weitere Diskussion zum OVH Sicherheitsleck unter:

Kundendaten OVH kompromittiert

Hallo liebes Forum, das kam gerade per Mail reingeflogen: Guten Tag, Wir möchten Sie darüber in Kenntnis setzen das die Sicherheit unseres internen Netzwerkes im Hauptsitz der OVH kompromittiert wurde. Wir haben sofort alle nötigen Sicherheitsmaßnahmen getroffen und eine genaue Überprüfung...
serversupportforum.de serversupportforum.de
 
Status
Not open for further replies.
Back
Top