neunzehn83.de

Ein Mann, ein Blog, kein Plan.

BSI Datenklau: Hosteurope informiert über mögliche Kompromittierung

Heute habe ich eine E-Mail von Hosteurope mit folgendem Betreff erhalten: Host Europe informiert: mögliche Kompromittierung Ihres E-Mail-Kontos. Darin informiert mich Hosteurope, dass ein E-Mail-Account auf meinem vServer kompromittiert worden sei. Im Detail:

Sehr geehrte Damen und Herren,

uns liegen Hinweise des BSI (Bundesamt für Sicherheit in der Informationstechnik) vor, dass Ihr(e) E-Mail-Konto/E-Mail-Adresse

<e-mail-adresse>

des/der folgende(n) Server(s):

<IP-Adresse>

kompromittiert ist/sind. Es ist höchstwahrscheinlich eine Ausspähung der Zugangsdaten durch Dritte erfolgt.

Tatsächlich wurde vor etwa einer Woche über den genannten Account von verschiedensten Standorten aus SPAM versendet, so dass man von einer Kompromittierung ausgehen kann. Die Accountinformationen sind wohl nach einem Trojanerbefall des Client-PCs ins Internet gelangt und wurden dort von weiteren infizierten PCs benutzt, um Spam zu versenden. Der Client-PC wurde bereinigt und das Passwort umgehend geändert.

Bis hierhin ist das alles nicht sonderlich aufregend. Sehr spannend finde ich aber, dass Hosteurope vom BSI scheinbar aktiv benachrichtigt wurde. Das wiederrum würde bedeuten, dass das BSI sämtliche MX records der in der Liste stehenden Mailadressen prüft und daraufhin Hoster anschreibt und diese Accounts explizit nennt! Ob das nur bei Hosteurope der Fall ist, oder auch andere große Hoster betrifft, kann ich im Moment noch nicht sagen - bin aber für jeden Hinweis diesbezüglich dankbar.

Was mich weiterhin beschäftigt ist die Tatsache, dass es in der Liste des BSI ja erstmal nur um E-Mail/Passwort-Kombinationen geht. Um "Internetkonten" also, wie z.B. Zugangsdaten zu Webseiten und nicht zwangsläufig um die Zugangsdaten zu dem jeweiligen Mailaccount. Wieso weiß das BSI bzw. Hosteurope dann, dass das (mittlerweile geänderte) Passwort der Liste auch das Passwort zum Mailaccount war und somit eine Kompromittierung stattgefunden haben kann? Im Moment kann ich nur davon ausgehen, dass pauschal angenommen wird, dass es sich um das Passwort zum E-Mail-Account handelt und somit der Hoster informiert wird.

Vielleicht hat ja irgendjemand da draußen ähnliche Mails von seinem Hoster bekommen und kann hier in den Kommentaren etwas Licht ins Dunkle bringen :)

Geschrieben am Freitag, 24. Januar 2014 und abgelegt unter Allgemein.