Kundendaten OVH kompromittiert

L

lyn2k9

Member
Hallo liebes Forum,

das kam gerade per Mail reingeflogen:

Guten Tag,

Wir möchten Sie darüber in Kenntnis setzen das die Sicherheit unseres internen Netzwerkes im Hauptsitz der OVH kompromittiert wurde.

Wir haben sofort alle nötigen Sicherheitsmaßnahmen getroffen und eine genaue Überprüfung des Vorfalls eingeleitet.
Es besteht die Möglichkeit das der Datenbankbestand der europäischen Kunden illegal kopiert wurde.
Diese Datenbank enthält: Nachname, Vorname, Kundenkennung, Straße, Ort, Land, Telefonnummer, Faxnummer und das verschlüsselte Passwort.

Kreditkarteninformationen sind nicht betroffen da diese nicht bei OVH gespeichert oder registriert sind.


Auch wenn die Verschlüssung der Passwörter sehr sicher ist, bitten wir Sie dennoch schnellstmöglich ihr Passwort
zu ändern.

Weitere Informationenl finden Sie unter: http://status.ovh.de/?do=details&id=5070


Bei Fragen stehen wir Ihnen jederzeit gerne zur Verfügung. Hilfreiche Informationen zu OVH und unseren Produkten finden Sie außerdem auch unter: http://www.ovh.de/support/.

Mit freundlichen Grüßen

Ihr OVH Kundendienst

---

Grüße

Lyn
 
Last edited by a moderator:
Achtung!

Das betrifft auch ehemalige Kunden von OVH. Ich bin schon seit Ewigkeiten weg von OVH und hab diese Mail auch bekommen. Nach telefonischer Rückfrage mußte ich feststellen, daß OVH offenbar sämtliche Kundendaten im System hält.
 
Der Angreifer muss wohl auch auf Root Server dadurch gekommen sein.

OVH verwendet bei ihren eigenen Images einen SSH Key für den Root Login um im Notfall Hilfe leisten zu können.

Siehe http://hilfe.ovh.de/DedizierteOvhSchluessel

Über diesen Generalzugriff hat der Angreifer Server missbraucht.

"Bezüglich des Auslieferungssystems für die Server in Québec haben wir folgendes Risiko
ausgemacht: wenn ein Kunde unseren SSH Key nicht von seinem Server entfernt hat bestand die
Möglichkeit, dass der Hacker sich von unserem System aus mit dem Server verbindet, um das in
der .p Datei gespeicherte Passwort auszulesen. Der SSH Key kann nicht von einem anderen Server
aus verwendet werden, sondern ausschliesslich von unserem Backoffice in Québec aus. Bei den
Kunden, die unseren SSH Key nicht entfernt und das root-Passwort nicht geändert haben, haben
wir unverzüglich das Passwort der Server im Rechenzentrum BHS geändert, um diese Möglichkeit
zu unterbinden. Wir werden heute eine E-Mail mit dem neuen Passwort an diese Kunden versenden.
Der SSH Key wird ab sofort bei allen Servern in Québec und Europa nach deren Auslieferung
standardmässig gelöscht. Wenn ein Kunde OVH im Rahmen des Supports Zugriff gewähren möchte,
muss er einen neuen SSH Key installieren."

http://forum.ovh.de/showthread.php?p=71423#post71423
 
Hmmm, die reden über Québec aber vorhin über deren Hauptsitz. Sind denn Server in Roubaix davon ebenfalls betroffen?
Also dass ein SSH-Key installiert ist, ist mir bekannt. Nur ob es kompromittiert ist nicht =)
 
Ich weiß schon, warum ich (paranoiderweise) den SSH-Key des Supports entfernt hatte :rolleyes:. Meine persönlichen Daten sind ja leider schon durch diverse andere Hacks im Umlauf (Sony, zum Beispiel).
 
d4f said:
Hmmm, die reden über Québec aber vorhin über deren Hauptsitz. Sind denn Server in Roubaix davon ebenfalls betroffen?
Also dass ein SSH-Key installiert ist, ist mir bekannt. Nur ob es kompromittiert ist nicht =)
Click to expand...

Es war wohl nur das Reinstallationssystem in Québec betroffen.
(also nur Server dort)


Ich weiß schon, warum ich (paranoiderweise) den SSH-Key des Supports entfernt hatte . Meine persönlichen Daten sind ja leider schon durch diverse andere Hacks im Umlauf (Sony, zum Beispiel).
Click to expand...

jo meine auch, was soll man machen.
Sind ja auch durch das Impressum öffentlich abrufbar, von daher...
 
Sagt mal, lest Ihr die Meldungen auch mal sorgfältig?

http://www.heise.de/newsticker/meld...t-Wir-waren-nicht-paranoid-genug-1921721.html

http://forum.ovh.de/showthread.php?t=12012

Folgendes ist passiert:
- Die Datenbank unserer Kunden in Europa abzurufen
- Sich Zugang zum Installationssystem der Server in Québec zu verschaffen
Click to expand...

D.h. die Kundendaten wurden abgegriffen:

Name, Vorname, Kundenkennung, Adresse, Stadt, Land, Telefon, Fax und das verschlüsselte Passwort. Die Verschlüsselung des Passworts erfolgt mit "salted" SHA512, um Brute Force Angriffe zu verhindern. Es erfordert umfangreiche technische Ressourcen, das Passwort im Klartext herauszufinden. Aber es ist möglich. Deshalb empfehlen wir Ihnen, dass Passwort Ihrer Kundenkennung umgehend zu ändern. Wir werden auch eine E-Mail an alle unsere Kunden versenden, in der wir den Sicherheitsvorfall erklären und sie auffordern, ihr Passwort zu ändern. Informationen zu Kreditkarten werden nicht bei OVH gespeichert, diese wurden weder abgerufen noch kopiert.
Click to expand...

EDIT: Davon abgesehen habe ich mal das "kompromittiert" aus dem Thementitel geändert. Wenn man Fremdwörter nicht mal korrekt ABSCHREIBEN kann, sollte man es lassen.
 
Last edited by a moderator:
Warum bekommen manche Kunden diese Mail bereits um 9 Uhr und ich erst jetzt?

9h für einen Email Versand...
Mein Exchange Server ist stetig erreichbar.
 
Schon mal ne Mail an paar tausend Empfänger verschickt? Nein? Versuchs mal. ;)
Sowas dauert nun mal mehrere Stunden.

Gründe hierfür sind unteranderem die begrenzte Parallelisierung (der verarbeitet nun mal immer nur Anzahl X gleichzeitig) und die Limits der empfangenden Mail-Server. Somit muss halt immer wieder unterbrochen und später fortgesetzt werden.
Und irgendeiner muss nun mal der letzte in der Queue sein. ;)
 
Endlich bricht es denen jetzt mal das Genick, dass sie meinten ihren SSH-Key in den Images mit einzubinden.

Glückwunsch

golem.de:
Allerdings lässt sich der SSH Key nur vom Backend in Quebec aus nutzen.
Click to expand...
Immerhin ist ein bisschen Aufwand betrieben worden.
 
Last edited by a moderator:
Die SSH Keys waren doch in diesem Fall garnicht relevant.
Es wurde das Reinstallationssystem in Quebec beeinflusst, da hätte man auch sonst irgendeine Backdoor oder sonstwas einbinden können.
 
Unsere internen Untersuchungen haben ergeben, dass es einem
Hacker gelungen ist, Zugriff auf den E-Mail-Account eines unserer Systemadministratoren zu
erlangen. Dieser E-Mail Zugang hat es ihm erlaubt, sich Zugriff auf das interne VPN eines
anderen Mitarbeiters zu verschaffen. Diesen VPN Zugang hat er dann genutzt, um die
Zugangsdaten eines der für das interne Backoffice zuständigen Systemadministratoren zu
missbrauchen.
Click to expand...

Seriously? Ich hätte mir bei so einem unternehmen schon verschlüsselte Mails vorgestellt. Warum nicht gleich die Kundendaten klartext bei Pastebin posten? O.o
 
Nach telefonischer Rückfrage mußte ich feststellen, daß OVH offenbar sämtliche Kundendaten im System hält.
Click to expand...

Sicher, das ist ja auch gesetzliche Vorschrift. Nur weil ein Kunde nicht mehr Kunde eines Unternehmens ist, ist das Unternehmen dennoch verpflichtet die Daten u.a. für das Finanzamt im Bestand zu halten.
 
IP-Projects.de said:
Sicher, das ist ja auch gesetzliche Vorschrift. Nur weil ein Kunde nicht mehr Kunde eines Unternehmens ist, ist das Unternehmen dennoch verpflichtet die Daten u.a. für das Finanzamt im Bestand zu halten.
Click to expand...
Aber doch sicher nicht über mehrere Jahre hinweg, oder?
Zumindest wurden meine Kundendaten nach dem heutigen Anruf auf meinen Wunsch hin gelöscht.
 
nexus said:
Aber doch sicher nicht über mehrere Jahre hinweg, oder?
Zumindest wurden meine Kundendaten nach dem heutigen Anruf auf meinen Wunsch hin gelöscht.
Click to expand...

Dein Login zum Manager evtl... der Rest muss seine Zeit aussitzen in der Datenbank ;)

Gruß Sven
 
You must log in or register to reply here.
Back
Top