Wegen DSGVO-Panne: Domainfactory-Kundendaten waren als XML-Feed offen im Netz
Domainfactory hat die Daten tausender Kunden öffentlich per Atom-Feed ins Netz gestellt, weil ein DSGVO-Feld in der Datenbank falsch programmiert war.
Auf der Webseite von Domainfactory wird prominent mit den Erfolgen der Kunden geworben. Eine Warnung vor den Konsequenzen des Datenlecks sucht man dort allerdings vergeblich.
(Bild: Fabian A. Scherschel / heise online / Domainfactory)
Nachdem die Host-Europe-Tochter Domainfactory die Kontrolle über Daten einer unbekannten Anzahl ihrer Kunden verloren hat, kommt langsam Licht ins Dunkel des Falles. Bei dem von Domainfactory als "Datenpanne" deklarierten Zwischenfall sind nicht nur brisante Kundendaten abhanden gekommen, der Angreifer hatte auch Zugriff auf mehrere Systeme im Netz der Firma. Deshalb wurden vorsorglich alle internen Passwörter und andere Zugangsdaten der eigenen Mitarbeiter geändert.
XML-Feed mit Kundendaten in aller Öffentlichkeit abrufbar
In einer zweiten E-Mail an die eigenen Kunden nach Bekanntwerden des Datenlecks bestätigt Domainfactory, was heise online nach eigenen Recherchen bereits berichtet hatte: Der Angreifer hatte nicht nur Zugriff auf öffentlich im Netz geleakte Kundendaten, sondern auch auf interne Systeme des Hosters. Die Kundendaten stammen laut Domainfactory aber aus einem Daten-Feed, der Systemfehler zusammenfasste. Demnach landeten Kundendaten in dem Feed, wenn ein Kunde Änderungen an seinen Daten im Kundenmenü vorgenommen hatte, weil im Zuge der Speicherung ein Fehler auftrat.
(Bild: Fabian A. Scherschel / heise online)
Da uns Kopien von Teilen des beschriebenen Atom-Feeds vorliegen, können wir diesen Teil der Domainfactory-Stellungnahme bestätigen. Ironischerweise war gerade das Feld, das die Kenntnisnahme des Kunden zur DSGVO-Erklärung des Kunden speichern sollte das Problem – es erwartete Daten des Typs Boolean, wurde aber mit einem String befüllt.
Hacker hatte wohl noch mehr Zugang zu Domainfactory-Systemen
Das erklärt allerdings nicht, wie der unbekannte Angreifer in den Besitz der Daten von Kunden kam, die sich seit über einem Jahr nicht mehr in ihr Domainfactory-Konto eingeloggt haben. Auch solche Daten aus dem Besitz des Angreifers liegen heise online vor. Auf Twitter behauptet der mutmaßliche Angreifer, er habe sich von dem Atom-Feed mit den Systemfehlern weiter auf interne Systeme des Hosters gehangelt. An Hand der sensiblen Informationen, die sonst noch in dem Atom-Feed zu finden sind, scheint das durchaus plausibel. Zumal ja auch Domainfactory in seiner neuesten E-Mail an die Kunden zugibt, "weitere Systeme gefunden" zu haben, "auf die derselbe Angreifer zugegriffen hat."
(Bild: Fabian A. Scherschel / heise online)
In seiner Stellungnahme schreibt der Hoster, man gehe davon aus, "dass der unbefugte Zugriff durch eine Einzelperson erfolgte." Wie Domainfactory zu dieser Einschätzung kommen konnte, wenn der XML-Feed mit den Kundendaten öffentlich im Netz stand und von jedem hätte entdeckt und abgerufen werden können, ist unklar. Ob der Atom-Feed-Unfall in Zusammenhang mit einer Verschiebung von Teilen der Domainfactory-Infrastruktur zu einem Dienstleister in die Ukraine steht, ist ebenfalls noch offen. Eine Anfrage zu den Details des Angriffs hat der Hoster bisher nicht beantwortet. (fab)
