Billing-Provider gehackt – über 65.000 Kundendaten gestohlen
Hacker erlangten bei dem Angriff vollständigen Zugriff auf die Kundendatenbank des Bezahldienstleisters WHMCS. Für den Angriff zeichnet die vierköpfige Gruppe UGNazi verantwortlich. Nach ihrem erfolgreichen Einbruch traten die Angreifer eine DDoS-Lawine gegen die Server von WHMCS los. Außerdem stellten sie ein 1,7GB mit Kundendaten MySQL-Dump der Benutzerdatenbank sowie ein Archiv mit allen Server-Inhalten online.
In der Kundendatenbank enthalten sind die Daten aller 67.302 Kunden, die eine WHMCS-Lizenz direkt und ohne Umweg über einen Reseller gemietet oder gekauft haben. Neben den vollständigen Adressdaten der Kunden befinden sich ebenfalls nur äußerst schwach verschlüsselte Kreditkarten-Daten und sämtliche Support-Tickets in der Datenbank. Die entschlüsselten Kreditkartendaten kursieren bereits auf einigen IRC-Channels. Ebenfalls in der geleakten Datenbank sind die unverschlüsselten Passwörter in den Begrüßungs-Emails, die jeder Neukunde nach einem Lizenzkauf erhält. WHMCS wird hauptsächlich von kleineren Hosting-Unternehmen eingesetzt, die nicht die nötigen Kapazitäten für eine Eigenentwicklung besitzen. Außerdem wurde der Lizenzierungs-Server von den Hackern übernommen und abgeschaltet.
Die Abschaltung des Lizenzierungs-Servers bewirkte, dass für mehrere Stunden theoretisch jede existierende WHMCS-Installation über einen einfachen Befehl von Fremden abgeschaltet werden konnte. Übergibt man den Parameter „?licensedebug&forceremote“ an eine WHMCS-Installation, so fordert die WHMCS-Installation neue Lizenzdaten an, um diese überprüfen zu können. Wenn der Server abgeschaltet ist, wird mit diesem Befehl jede WHMCS-Installation mit einem Hinweis auf eine nicht-lizenzierte Version abgeschaltet. Lediglich Kunden, die diesen Befehl explizit abgeschaltet hatten, waren davon nicht betroffen. Ironischerweise waren Nutzer einer Nulled-Version ebenfalls nicht gefährdet.
Zu diesem Zeitpunkt wurden die WHMCS-Kunden nicht über das Problem informiert. Bei dem betroffenen Server handelt es sich um einen managed Server, der von dem Provider Hostgator.com verwaltet wird. Mithilfe einer Social Engineering-Attacke gelangten die Angreifer sowohl an das Passwort des Administrators und Teamleiters Matt, als auch an die Antworten auf die geheimen Sicherheitsfragen, die Matt mit Hostgator vereinbarte. Die Angreifer meldeten sich in Matts E-Mail-Konto an und baten Hostgator per Mail um Zusendung neuer Login-Daten für den Kundenbereich bei Hostgator. Die Sicherheitsfragen, die der Verifizierung dienen sollten, konnten die Angreifer korrekt beantworten und erhielten daraufhin die neuen Login-Daten. Anschließend änderten die Hacker die e-Mail-Adresse in dem Hostgator-Account und forderten neue cPanel-Daten für den betroffenen Server an. Mit den cPanel-Daten erhielten sie automatisch Vollzugriff auf den Server.
Anhand der geleakten Datenbank und der darin enthaltenen Kundenzahlen lässt sich ebenfalls ableiten, dass die Entwickler des WHMCS mindestens 530.000$ im Monat einnahm. Warum trotz solcher Einnahmen nur ein einziger managed Server verwendet und nicht ein eigens dafür angestellter Administrator eingesetzt wurde, ist unklar. Vermutlich liegen die monatlichen Einnahmen noch weit höher, da hierbei von dem günstigsten Reseller ausgegangen wird.
Der Server konnte noch am 21. Mai wiederhergestellt werden, danach wurden die Kunden in einem Blogpost und in einer Massen-Email benachrichtigt. Am 22. Mai folgte eine schwere DDoS-Attacke gegen whmcs.com. In einem Statement betonte Matt, dass die Sicherheit von der Software WHMCS selbst nicht gefährdet ist und keine bekannten Sicherheitslücken enthält. Die DDoS-Attacken hielten bis zum 23. Mai an. Kurz danach wurde bei einem erneuten Angriff das auf vBulletin basierende Forum unter forum.whmcs.com gehackt und defaced. Dabei wurde eine bekannte und schon gefixte Sicherheitslücke in vBulletin ausgenutzt.
