FTP- und Datenbank-Kennwörter im Klartext
United Domains: Unsichere Speicherung von Kennwörtern (Update)
Der Starnberger Anbieter United Domains gehört wie 1&1, Web.de oder GMX zum United-Internet-Konzern. Das Unternehmen ist einer der weltgrößten Registrare von Domains und bietet Dutzende TLDs an. Kunden, die ein Webhosting-Paket bei United Domains gebucht haben, sollten aber auf ihre Kennwörter achten. Das Update von 21:00 Uhr finden Sie am Ende des Artikels.
Inhaltsverzeichnis
- 1Sicherheitsprobleme
- 2Gravierende Risiken
- 3Fazit
- 4Update vom 17. November
- 5Update vom 22. November
Das sogenannte Shared Hosting steht immer wieder in der Kritik von IT-Experten: Da sich mehrere Kunden einen Server teilen, kann niemals zu 100 Prozent ausgeschlossen werden, dass sie Zugriff auf die Daten der anderen Nutzer erhalten. Konzeptionelle Sicherheit ist bei Shared-Hosting-Systemen essentiell.
Sicherheitsprobleme
Nach dem Fall Hetzner, der vor einigen Wochen für Wirbel gesorgt hat, hat netzwelt nun eine neue Sicherheitslücke bei einem großen Provider ausgemacht. Der Starnberger Dienstleister United Domains, der zum United-Internet-Konzern gehört, geht offensichtlich sehr unvorsichtig mit den Passwörtern der Kunden um: Alle FTP- und Datenbank-Kennungen des Webhosting-Pakets werden dauerhaft im Klartext im Admin-Bereich angezeigt. Eigentlich ist es Standard in der Hosting-Branche, dass Passwörter der Kunden nach der Eingabe nicht mehr einsehbar sind, sondern nur als Prüfsumme auf den Servern gespeichert werden.
Gravierende Risiken
Dieses Verfahren verhindert nicht nur, dass Hacker auf Kennwörter der Kunden zugreifen können, wenn sie Zugriff auf die Systeme eines Webhosters erlangen. Auch Mitarbeiter mit offiziellem Zugang zu Servern wird so das Auslesen einer Zugangskennung verwehrt - schließlich verwenden recht viele Nutzer ihre Kennwörter mehrfach. Wer ein Webhosting-Paket bei United Domains gebucht hat, sollte daher unbedingt das FTP- und Datenbank-Passwort regelmäßig ändern und sicherstellen, dass es auf keinen Fall mit dem E-Mail-Passwort identisch ist oder für PayPal und eBay, das Online-Banking oder Soziale Netzwerke verwendet wird.
Immerhin ist die gravierende Sicherheitslücke bei United Domains offenbar bekannt. Auf Anfrage teilte die Technik mit: "Wir sind uns der angesprochenen Problematik hinsichtlich der FTP-Passwörter bewusst und planen bereits eine entsprechende Änderung unserer Systeme. Leider können wir Ihnen jedoch noch keinen verbindlichen Termin hierfür nennen." Genauere Auskünfte wurden gegenüber netzwelt nicht genannt.
Fazit
Shared Hosting ist für Otto Normalverbraucher zwar einfacher als die Verwaltung eines eigenen Servers, die jüngsten Sicherheitslücken rütteln aber immer wieder am blinden Vertrauen in die Technik. Selbst Webhoster mit Millionen Kunden haben offenbar Schwierigkeiten, von Grund auf sichere Systeme zu realisieren.
Update vom 17. November
Aufgrund der Berichterstattung von netzwelt hat der Starnberger Hoster umgehend reagiert: Noch am Nachmittag wurde die Admin-Konsole derart umgebaut, dass FTP-Passwörter nicht mehr im Klartext angezeigt werden. Sie können über das entsprechende Formularfeld nur noch geändert, aber nun nicht mehr eingesehen werden - die Speicherung auf dem Server erfolgt jedoch weiterhin unverschlüsselt. Die kurzfristige Änderung gilt außerdem nicht für die Datenbank-Passwörter, sie sind weiterhin lesbar. Ein Sprecher des Unternehmens erklärte gegenüber netzwelt, man sei sich der Problematik bewusst und arbeite "mit hoher Priorität" an einer Lösung des Sicherheitsproblems.
Update vom 22. November
United Domains hat mitgeteilt, das die Sicherheitslücke mittlerweile vollumfänglich behoben ist. Alle Kennwörter, sowohl von FTP- als auch Datenbank-Benutzern, würden nun als Prüfsumme gespeichert und lägen nicht mehr im Klartext auf dem Server vor. Die Behebung der Lücke innerhalb weniger als einer Woche ist sehr positiv zu bewerten, da hierfür ein tiefer Eingriff in die Systeme von United Domains nötig war. Insgesamt hat der Provider nach Meldung der Lücke vorbildlich reagiert.