Sicherheitsleck bei Kundendatenbank von A1
Ein alter Server der A1 Telekom Austria wurde am Donnerstag Ziel eines Hackerangriffs, wie heise.de berichtet und von A1 auf Twitter offiziell bestätigt wurde. Dem Webportal wurden Auszüge aus der Datenbank zugespielt. Darin beinhaltet waren Daten wie Name, Telefonnummer, E-Mail-Adressen und Kundenpasswörter im Klartext.
Laut heise.de dürfte es sich bei den Betroffenen um Nutzer des Webhosting-Angebots für Aon-Kunden handeln. Das Service soll seit 2011 nicht mehr aktiv angeboten werden, aber der Server für Bestandskunden aufrechterhalten worden sein. A1 wurde durch heise.de erstmals auf das Datenleck aufmerksam. Auf Fragen der futurezone beim Provider, wie viele Kunden von dem Datenleck betroffen sind und ob Kunden-Passwörter bei A1 nach wie vor im Klartext gespeichert werden, gab es keine Antwort.
Privatkunden-Service für Website-Erstellung
Eine offizielle Stellungnahme zum Sicherheitsvorfall bekamen wir jedoch: "Aufgrund eines Hinweises gab es Indizien, dass eine nicht näher spezifizierte Datenbank angegriffen und Kundennamen und Passwörter abgezogen wurden. Wir sind den Hinweisen unverzüglich nachgegangen und haben den betroffenen Server und die Datenbank identifiziert. Es handelt sich dabei um ein Privatkunden-Service, das zur Website Erstellung genutzt wurde und seit 2011 nicht mehr verkauft wird", bestätigte eine Pressesprecherin von A1 den Bericht gegenüber der futurezone.
A1 hat die Sicherheitslücke nun gefixt und das Datenleck an die österreichische Datenschutzbehörde gemeldet. Der Hacker, der sich auch für den Angriff auf Domainfactory verantwortlich zeigt, kritisierte den Provider wegen dem Einsatz „veralteter Technik und mangelnden Sicherheitsvorkehrungen“ und langsamer Reaktion. A1 wurde laut dessen Angaben bereits am 2. Oktober auf die Probleme hingewiesen.
A1 dazu: "Datenschutz und Datensicherheit haben oberste Priorität bei A1. Um potenziellen Missbrauch zu vermeiden, wurde der Server bereits vom Netz genommen und der Zugriff darauf gesperrt. Für Kunden bedeutet dies, dass sie im Moment ihre Website nicht updaten können. Die Passwörter werden derzeit vorsorglich zurückgesetzt und die Kunden werden schriftlich informiert. Wir bedauern diesen Vorfall."
Passwörter im Klartext
Dieses Jahr war bereits der Konkurrent T-Mobile unter Online-Beschuss geraten, weil der Konzern offen kommuniziert hatte, Passwörter im Klartext zu speichern. Das Speichern des kompletten Passworts im Klartext gilt heutzutage aber als extrem unsichere Praxis. Vielmehr ist es mittlerweile üblich, nur die Hashes von Passwörtern zu speichern, die mit geeigneten Streuwertfunktionen aus natürlichen Zahlen erzeugt werden. T-Mobile hatte nach dem Social-Media-Debakel (einen Datenleck wie bei A1 gab es nicht) angekündigt, Passwörter künftig nur noch verschlüsselt zu speichern.