Vor zwei Monaten Erfuhr die Hosting-Firma, dass sich ein Angreifer weitreichenden Zugriff auf Kundendaten verschaffen konnte. Jetzt stellt sich heraus, dass offenbar auch die SSL-Zertifikate der Kunden betroffen sind.
Die Berliner Webhosting-Firma 1blu hat nach einem folgenschweren Hackerangriff die SSL-Zertifikate ihrer Kunden ausgetauscht. Vor über zwei Monaten setzte sich ein Erpresser mit 1blu in Verbindung, um mitzuteilen, dass er sich weitreichenden Zugriff auf die Infrastruktur des Unternehmens verschafft und große Datenmengen kopiert hatte. Darunter befinden Interna sowie Passwörter, persönliche Daten und Bankverbindungen der Kunden. Betroffen sind hunderttausende Kundenverträge. Der Täter forderte von dem Unternehmen 250.000 Euro in Bitcoins, andernfalls wolle er die erbeuteten Daten veröffentlichen.
Auch SSL-Zertifikate kompromittiert
Die neuen SSL-Zertifikate sind seit dem 1. September 2015 gültig. Ob von dem Vorfall auch SSL-Zertifikate betroffen sind, hatte 1blu gegenüber seinen Kunden bisher nicht kommuniziert. heise Security hat das Unternehmen kürzlich um weitere Informationen zu dem Angriff gebeten und dabei auch explizit gefragt, ob die Sicherheit der Zertifikate gewährleistet ist. Stichproben ergaben, dass nach wie vor Zertifikate zum Einsatz kamen, die vor dem Cyber-Einbruch ausgestellt wurden. 1blu erklärte, dass man just am Tag unserer Anfrage damit begonnen hat, die Zertifikate der Kunden auszutauschen.
Das deutet darauf hin, dass der Täter die zu den SSL-Zertifikaten gehörigen privaten Krypto-Schlüssel erbeuten konnte. Mit diesen kann sich ein Angreifer in der Position des Man-in-the-Middle in verschlüsselte SSL-Verbindungen einklinken und die übertragenen Daten im Klartext mitlesen sowie manipulieren.
Zertifikatstausch im großen Stil
heise Security hat daraufhin mehrere tausend Zertifikate untersucht, die 1blu aktuell für seine Kunden ausliefert. Tatsächlich wurden am Tag unserer Anfrage oder später fast 90 Prozent der von uns gesichteten Zertifikate erneuert. Die neuen Zertifikate wurden, genauso wie die alten, von Comodo ausgestellt. Bei den übrigen Fällen handelt es sich vermutlich um Kunden, die ein selbst zu adminstrierendes Server-Paket bei 1blu gebucht haben (vServer, RootServer oder DedicatedServer). Diese müssen das kompromittierte Zertifikat selbst austauschen. Laut 1blu finden diese Nutzer im Kundencenter hierzu ein neues SSL-Zertifikat vor.
Zwei Monate Vorbereitungszeit
Der Täter hatte sich bereits am 1. Juni 2015 mit 1blu in Verbindung gesetzt ? die Zertifikate wurden allerdings erst zwei Monate später getauscht. Das Unternehmen begründet die Verzögerung damit, dass der Massenaustausch „zunächst technisch vorbereitet werden musste“. Allerdings hat 1blu seine Kunden nicht im Vorfeld darüber informiert, dass die verschlüsselten Verbindungen ihrer Webhosten-Pakete und Server nicht mehr als sicher zu betrachten sind.
Auch wenn die kompromittierten Zertifikate inzwischen offenbar nicht mehr ausgeliefert werden, ist die Gefahr noch nicht gebannt: Sie wurden laut 1blu noch nicht auf die entsprechende Zertifikatssperrliste gesetzt. Somit lassen sie sich weiterhin uneingeschränkt für missbräuchliche Zwecke einsetzen. Die Sperrung der betroffenen Zertifikate soll voraussichtlich „in den nächsten Tagen erfolgen“. (rei)