Sicherheitslücken bei Webhoster Hetzner

Tobias Huch benötigte zum Ausspähen der Kennwörter nur einen Zugang zu einem Managed Server bei Hetzner. Darüber konnte er auf die Verzeichnisse anderer Kunden und deren Konfigurationsdateien zugreifen. Die Passwörter für den Zugriff auf die Server der Kunden waren hier unverschlüsselt abgelegt. Es wäre so problemlos möglich gewesen, auf den Servern weitere Daten auszuspionieren oder Dateien zu manipulieren.

Betroffen sind allerdings nur Managed Server und Angebote des Shared Hosting. Root-Server, bei denen die Kunden selbst ein Administrator-Passwort vergeben („root“-Passwort), sind nicht gefährdet.

Inzwischen hat Hetzner die Sicherheitsprobleme weitestgehend beseitigt. Die Passwörter werden jetzt verschlüsselt gespeichert. Es ist allerdings zurzeit nicht klar, seit wann die Sicherheitslücke bestand und ob sich vielleicht auch andere Personen Zugang zu den Passwörtern verschafft haben. In jedem Fall sollten Hetzner-Kunden ihre Passwörter ändern und den Server auf ungewöhnliche Aktivitäten hin untersuchen.