We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

Sicherheitsvorfall


oles@ovh.net
22.07.13, 16:22
Guten Tag,

http://status.ovh.net/?do=details&id=5070

vor einigen Tagen haben wir festgestellt, dass die Sicherheit unseres Netzwerks am Standort
Roubaix beeinträchtigt wurde. Unsere internen Untersuchungen haben ergeben, dass es einem
Hacker gelungen ist, Zugriff auf den E-Mail-Account eines unserer Systemadministratoren zu
erlangen. Dieser E-Mail Zugang hat es ihm erlaubt, sich Zugriff auf das interne VPN eines
anderen Mitarbeiters zu verschaffen. Diesen VPN Zugang hat er dann genutzt, um die
Zugangsdaten eines der für das interne Backoffice zuständigen Systemadministratoren zu
missbrauchen.

Bis zu diesem Zeitpunkt basierte die interne Sicherheit auf 2 Überprüfungsebenen:
- Die Quell-IP: man muss sich entweder an einem der OVH Standorte befinden oder das interne
VPN verwenden
- Das persönliche Passwort

Wir haben nach diesem Zwischenfall folgende Massnahmen ergriffen:
-----------------------------------------------------------------
Nach dem Zwischenfall haben wir unverzüglich die internen Sicherheitsregeln verschärft:
- Die Passwörter aller Mitarbeiter für alle Zugänge wurden geändert.
- Wir haben ein neues VPN mit sehr restriktiven Zugängen in einem nach den Anforderungen der
PCI-DSS Norm gesicherten Saal eingerichtet.
- Der Zugriff auf interne E-Mails ist nun nur noch an einem der OVH Standorte oder vom
internen VPN aus möglich.
- Sämtliche Mitarbeiter mit kritischen Zugängen werden auf 3 Überprüfungsebenen umgestellt:
- Die Quell-IP
- Das persönliche Passwort
- Ein persönliches Hardware-Token (YubiKey)

Bilanz:
-------
Während der internen Untersuchungen zu diesem Sicherheitsvorfall haben wir festgestellt, dass
der Hacker die privilegierten Zugänge wahrscheinlich ausgenutzt hat, um 2 Aktionen
auszuführen:
- Die Datenbank unserer Kunden in Europa abzurufen
- Sich Zugang zum Installationssystem der Server in Québec zu verschaffen

Die Datenbank der Kunden in Europa enthält die persönlichen Angaben der Kunden: Name, Vorname,
Kundenkennung, Adresse, Stadt, Land, Telefon, Fax und das verschlüsselte Passwort.
Die Verschlüsselung des Passworts erfolgt mit "salted" SHA512, um Brute Force Angriffe zu
verhindern. Es erfordert umfangreiche technische Ressourcen, das Passwort im Klartext
herauszufinden. Aber es ist möglich. Deshalb empfehlen wir Ihnen, dass Passwort Ihrer
Kundenkennung umgehend zu ändern.
Wir werden auch eine E-Mail an alle unsere Kunden versenden, in der wir den Sicherheitsvorfall
erklären und sie auffordern, ihr Passwort zu ändern.
Informationen zu Kreditkarten werden nicht bei OVH gespeichert, diese wurden weder abgerufen
noch kopiert.

Bezüglich des Auslieferungssystems für die Server in Québec haben wir folgendes Risiko
ausgemacht: wenn ein Kunde unseren SSH Key nicht von seinem Server entfernt hat bestand die
Möglichkeit, dass der Hacker sich von unserem System aus mit dem Server verbindet, um das in
der .p Datei gespeicherte Passwort auszulesen. Der SSH Key kann nicht von einem anderen Server
aus verwendet werden, sondern ausschliesslich von unserem Backoffice in Québec aus. Bei den
Kunden, die unseren SSH Key nicht entfernt und das root-Passwort nicht geändert haben, haben
wir unverzüglich das Passwort der Server im Rechenzentrum BHS geändert, um diese Möglichkeit
zu unterbinden. Wir werden heute eine E-Mail mit dem neuen Passwort an diese Kunden versenden.
Der SSH Key wird ab sofort bei allen Servern in Québec und Europa nach deren Auslieferung
standardmässig gelöscht. Wenn ein Kunde OVH im Rahmen des Supports Zugriff gewähren möchte,
muss er einen neuen SSH Key installieren.

Wir werden unser gesamtes Backoffice in den nächsten Monaten an den Anforderungen der PCI-DSS
Norm ausrichten. Dadurch können wir garantieren, dass ein Hack bestimmter Personen keine
Auswirkungen auf unsere Datenbanken hat.
Kurz gesagt, wir waren nicht paranoid genug und heben nun unser Sicherheitslevel drastisch an.
Das Ziel dabei ist, die Sicherheit Ihrer Daten zu garantieren und uns gegen Industriespionage
abzusichern, die auf bei OVH arbeitende Personen abzielt.

Wir haben ausserdem Strafanzeige bei den Justizbehörden gestellt. Um die Arbeit der Ermittler
nicht zu beeinträchtigen werden wir bis zum Abschluss der Ermittlungen keine weiteren Details
veröffentlichen.

Wir entschuldigen uns bei Ihnen für diesen Vorfall.
Vielen Dank für Ihr Verständnis.

Mit freundlichen Grüßen

Octave