summaryrefslogtreecommitdiff
path: root/updates/2004/loomeshack.md
blob: c6c6374b64272a12ccc088604bbad1ddb25a2bce (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
title: Kleines Sicherheitsproblem bei Berliner Hosting-Provider schnell gelöst
date: 2004-12-30 00:00:00 
updated: 2020-04-30 23:31:56 
author: webmaster
tags: update, 21c3

	Der Chaos Computer Club gratuliert der Berliner Loomes AG, einem 
	Internet Hosting Provider, zur schnellen Lösung einer kurzfristig
	aufgetretenen Sicherheitsschwankung. 
	

<!-- TEASER_END -->

Durch eine etwa 10 Monate alte Datei mit Kundenkennungen, die durch noch
ungeklärte Ursache in die Hände offenbar jugendlicher Hacker gefallen
war, war eine größere Anzahl von Kundenwebseiten der Loomes AG verändert
worden.

Da die offensichtlich jugendlichen Hacker neben einem Hinweis auf das
Sicherheitsproblem auch ein Logo des 21. Chaos Communication Congress
hinterließen, wandten sich einige Unternehmen an die Abuse-Hotline der
Congress-Netzwerk-Crew, die den Netzverkehr zwischen dem Congress als
mutmaßlicher Quelle der Angriffe und den Servern der Loomes AG sperrte.

Die Loomes AG zeigte sich von den Ereignissen zwar nur eingeschränkt
begeistert, reagierte auf Nachfragen des Chaos Computer Club allerdings
prompt und spielte die korrekten Kundenwebseiten wieder auf. Ob die
zwischenzeitlich gestellte Strafanzeige der Loomes AG dabei hilft, die
Sicherheit ihrer Computersysteme zu verbessern kann allerdings vom CCC
nicht nachvollzogen werden.

Um Mißverständnisse zu vermeiden:

-   Die Daten der Internetpräsenzen der Kunden der Loomes AG sind von
    den Hackern als Backup in deren Verzeichnissen erhalten geblieben,
    es wurden augenscheinlich weder Kundendaten zerstört noch gelöscht.
-   Der unbefugte Zugriff auf die Internetpräsenzen wurde nicht vom
    Chaos Computer Club durchgeführt. Der Chaos Computer Club
    veranstaltet einmal im Jahr die Bildungsveranstaltung Chaos
    Communication Congress, wo die Teilnehmer eben auch Internetzugang
    haben.
-   Der entstandene Aufwand für die Loomes für die Passwort-Änderungen
    ist womöglich ärgerlich, wäre aber auch ohne diesen Angriff nötig
    gewesen, da die Zugangsdaten offensichtlich für unbefugte zugänglich
    waren.