Über den ZAP Hosting leak wurden wir per email am 20.03.2022 von ZAP informiert. Darin bestätigt man einen Sicherheitsvorfall und Datenleak. Hierbei sind auch Kundendaten abhanden gekommen die Mitte März im Internet (Clear-net) veröffentlicht worden. Ob von dem ZAP-Leak du und deine Daten betroffen sein können und was du jetzt tun solltest haben wir in diesen Artikel kurz zusammengefasst.
➤ In diesem Artikel befinden sich Sternchen (*) gekennzeichneten Links, sogenannte Affiliate-Links und Werbung. Wenn du auf einen solchen Link klickst und über diesen Link einkaufst, bekomme ich von dem betreffenden Anbieter eine Provision. Für dich verändert sich der Preis nicht. Damit unterstützt du unsere Webseite – Vielen Dank!
Angriff auf die Infrastruktur von ZAP Hosting Mitte März 2022
Zwischen dem 13.03 und 15.03 gab es Angriffe auf Dienste der ZAP-Hosting Infrastruktur die zu Beeinträchtigung der Services führten aber auch umgehend erkannt und angegangen wurden. Laut Aussage von ZAP Hosting konnte der Schaden weitestgehend begrenzt werden, sodass die Infrastruktur „binnen 48h wieder nahezu vollständig lauffähig war und keine weiteren Beeinträchtigungen im Kundenportal zu verzeichnen waren.“
Kundendatenbank aus 2021 gleichzeitig von Hackern veröffentlicht
Im zeitlichen Zusammenhang mit diesen Vorfällen wurde ein Datenbank-Dump des ZAP-Kundenportals mit Datenstand 22.11.2021 im Internet öffentlich gestellt. Ein Zusammenhang zwischen beiden Vorfällen gilt als sehr wahrscheinlich. Es ist anzunehmen das bereits im November 2021 das ZAP-Hosting Opfer wurde. zu einer Datenpanne, bei der über 60 GB an Daten mit 746 000 eindeutigen E-Mail-Adressen offengelegt wurden. Die Sicherheitsverletzung umfasste auch Support-Chat-Protokolle, IP-Adressen, Namen, Einkäufe, physische Adressen und Telefonnummern.
ZAP informiert in seiner eMail an ihre Kunden folgende Daten mindestens kompromittiert gelten und rät seinen Kunden zu entsprechender Vorsicht. Dies steht auch auf ihrer Webseite.
Betroffene Daten
- deine E-Mailadresse
- dein Username
- Adressdaten von Bestellung wenn angegeben , evtl. auch Telefonnummern
- Autogenerierte Subuser Account Zugänge im Klartext (unverschüsselt)
- Zugangsdaten (Passwörter) zum ZAP Kundenportal in verschlüsselter Form
- Chat-Verläufe mit dem Kundensupport
Insgesamt sind 60GB an Daten und 746.000 eindeutige email Adressen veröffentlicht worden. Den Datenleak kann man auch auf der bekannten Seite Have I been Pwned nachlesen und gleich überprüfen ob die eigene email Adresse betroffen ist.
Breach date: 22 November 2021
Date added to HIBP: 19 March 2022
Compromised accounts: 746,682
Compromised data: Browser user agent details, Chat logs, Email addresses, IP addresses, Names, Phone numbers, Physical addresses, Purchases
Sind auch personenbezogene Daten vom Zap Hosting Leak betroffen?
Ja, obige Daten gelten als personenbezogene Daten. Bei der Verletzungen des Schutzes personenbezogener Daten sind der zuständigen Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden, zu melden (Art. 33 DS-GVO).
Welche Daten sind vom ZAP Hosting Leak nicht betroffen?
Nach Angaben von ZAP-Hosting sind folgende Daten nicht betroffen:
- Kreditkarten-Daten oder andere Zahlungsinformationen mit Sicherheitsmerkmalen waren nicht enthalten.
- Zugangsdaten von den gebuchten Produkte/Server bei ZAP
Nach unserem Verständnis und den Angaben von ZAP-Hosting waren folgende Dienste direkt betroffen.
- Kundenportal
- Daten des Kundenportals
Natürlich fragt man sich ob und wie möglicherweise auch die Gameserver betroffen sind. ZAP Hosting gib dazu an: „Deine gebuchten Produkte/Server bei ZAP sind ebenfalls nicht gefährdet! Hier wurden keine Zugangsdaten oder Ähnliches veröffentlicht.“ Das liest sich ja erstmal ganz gut, allerdings empfehlen wir Dir nach einen Sicherheitsvorfall alle Accounts / Passwörter neu zu setzen. Siehe dazu unsere Handlungsempfehlungen
Weltweit nimmt die Anzahl der Datenpannen leider zu
Mehr Infografiken finden Sie bei StatistaLeider sind Datenleaks durch bösartige Angriffe oder fehlerhafte Administration ja mittlerweile ein häufiges Übel. Meist ein Ärgernis, je nach Umfang und Art der Daten kann dies für Unternehmen und auch für die betroffenen Personen erstzunehmenden Konsequenzen haben. Nicht immer spürt man die Konsequenzen sofort und wir beobachten daher eine gewisse Teilnahmslosigkeit oder auch Ratlosigkeit der betroffenen Anwender.
Wenn du ein Kunde von ZAP-Hosting bist, solltest du Maßnahmen ergreifen, um deine Daten zu schützen!
Was muss ich tun wenn mein Account / Email-Adresse in einen Databreach geleakt wurde?
In Databreach von ZAP Hosting März 2022 sind Kunden eMail Adressen geleakt worden. Wir sehen 5 wesentliche Risiken vor die du dich schützen solltest:
1. Deine eMail kann vermehrt durch SPAM (Werbung) angegriffen werden.
2. Deine eMail kann vermehrt durch Phishing (Betrugsversuch) angegriffen werden.
3. Jemand kann versuchen mit dem Wissen das du Kunde bei ZAP warst dir damit zu schaden.
4. Jemand kann versuchen Zugang zu deinem eMail-Postfach zu erlangen. Da er schon deine gültige eMail Adresse hat braucht er nur noch dein Passwort. Dieses kann er versuchen mit verschiedenen Methoden zu erlangen.
5. Es kann versucht werden andere Dienste von Dir zu kappern die du ggf. mit der gleichen eMail verwendest.
Folgende Massnahmen solltest du daher vornehmen um dich gegen diese Risiken zu schützen.
1. SPAM und Phishing Schutz. Hier schützt du dich vor allem selbst, indem du in der nächsten Zeit besonders auf schädliche eMails achtest. Besonders achtest du darauf nicht direkt auf Links zu klicken die in einer email enthalten sind wenn du nicht ganz sicher bist das die email von einem sicheren, dir bekannten Absender kommt. Weiterhin stellst du die Schutzstufen in deine Browser und eMail Programm entsprechend hoch ein.
2. Hier solltest du Dir überlegen ob es Dir schaden kann, wenn bekannt wird, daß du bei ZAP Hosting Kunde warst. Für die meisten von uns dürfte das nicht der Fall sein – für einen Mitarbeiter eines Wettbewerbers oder wenn du als Online-Spielsüchtiger bekannt bist siehst du einer Veröffentlichung ggf. nicht so gelassen
3. Der Schutz deines E-Mail Postfaches ist jetzt aber am Wichtigsten. Prüfe deshalb ob du ein ausreichend sicheres Passwort nutzt. Am besten ist es, wenn du dein Email-Postfach mit 2 Faktor Authentifizierung schützt. Du solltest dein eMail Passwort auch unbedingt ändern wenn du das gleiche Passwort in anderen Diensten verwendest. Zum Beispiel beim Kundenportal von ZAP.
4. Viele Nutzer haben nur eine eMail die sie in den verschiedenen Diensten verwenden. Oft passiert es nach einen Hack das verschiedene Dienste mit deiner Email durchprobiert werden, ob du ein schwaches Passwort benutzt oder vielleicht eines das man schon kennt! Wenn du in anderen Dienste vielleicht keine guten Passwörter verwendet hast, solltest du diese jetzt neu durch sichere Passwörter schützen. Sehr oft wird mit den geleakten eMails-Adressen versucht Konten von Amazon, ebay, Facebook, Paypal, etc. oder andere eMail Dienste zu kapern.
Was muss ich tun wenn mein verschlüsseltes (gehashtes) Passwort in einen Databreach geleakt wurde?
In Databreach von ZAP Hosting März 2022 sind Kundenaccount Passwörter, verschlüsselt, geleakt worden.
1. ZAP Hosting empfiehlt die Änderung deines ZAP Kundenaccount Passwortes.
2. Weiterhin empfehlen wir dir die Prüfung ob du diese Passwort auch in anderen Diensten & Webseiten verwendet hast, diese solltest du ebenfalls sofort ändern. Insbesondere prüfe das Passwort deines eMail-Postfaches , siehe Empfehlung Email-Postfach Massnahmen.
3. Dabei solltest du dann endlich für jeden Dienst und Webseite ein eigenes Passwort, sicheres verwenden! Sichere Dienste auch direkt mit 2 Faktor Authentifizierung ab.
Du solltest davon ausgehen das dein Passwort kompromittiert wurde oder wird. Auch wenn es technisch verschlüsselt ist gibt es keine Garantie das dies so bleibt. Dies kann technische Gründen eine fehlerhaften oder schwachen Verschlüsselung sein oder auch weil dein Passwort nicht besonders sicher war oder einfach zufällig entschlüsselt werden kann.
Was muss ich tun wenn meine personenbezogene Daten geleakt wurden?
In Databreach von ZAP Hosting März 2022 sind auch weitere Daten wie etwas Adressdaten, Chat-Verläufe mit dem Kundensupport, Usernamen , Telefonnurmmern, geleakt worden.
1. Überlege welche Nachteile oder sogar Schaden dir durch Veröffentlichung oder Missbrauch dieser geleakten Daten entstehen können. Besonders deine Adressdaten oder Telefonnummern können für dich empfindlich sein.
2. In Chatverläufen oder Logfiles sind ja oft auch Daten wie Zeitstempel oder ähnliches enthalten. Kann Dir daraus ein Schaden entstehen ?
3. Über die Risiken der Usernamen und email Adressen haben wir oben schon hingewiesen.
Je nach Risiko empfehlen wir Dir (professionelle) Hilfe zu suchen um möglichen Schaden zu mitigieren und abzuwenden.
Was kannst du auf deinen gemieteten Gameserver nach einem Sicherheitsvorfall machen?
In Databreach von ZAP Hosting März 2022 sind laut Angaben keine Gameserver Daten betroffen.
Sicherheitshalber empfehlen wir aber folgende Massnahmen für deinen Gameserver
1. Gamerserver Account / Zugangsdaten ändern, sowohl für Dich als auch für deine registrierten Mitspieler. Je nach Spiel ist hierzu ein anderes Vorgehen nötig. Nach Änderung solltest du deinen Server restarten.
2. Sensible Daten auf dem Server prüfen. Manchmal hat man sensible Daten auf seine Server gespeichert z.b. weitere Login-Daten.
Soll ich ZAP-Hosting nach den Databreach wechseln?
Die Entscheidung liegt natürlich bei Dir als Kunde und wie zufrieden und sicher du dich jetzt bei ZAP Hosting fühlst. Wie betroffen bist du und wie groß ist der Aufwand zu wechseln? Dies kannst du abwägen.
Klares commitment von uns : Wir werden unsern Kundenaccount bei ZAP nicht löschen und weitere Gameserver dort auch zukünftig nutzen. Sicherheitsvorfälle sind sehr ärgerlich, aber hier sind wir loyal zu ZAP die uns immer einen guten Service gegeben haben. Kriminelle Handlungen sind der Feind jedes Gamers.
In unserer Top5 Gameserverliste findest du auch andere Anbieter mit einem sehr guten Preis-Leistungsverhältnis.
Und auch auf unser Übersichtsseite für Gameserver findest du weitere Anbieter. Speziell für Minecraftserver zum Mieten haben wir hier eine Liste zusammengestellt
Wenn du willst kannst du ZAP Hosting anfragen welche personenbezogene Daten sie von Dir gespeichert haben und fordern diese, soweit rechtlich und technisch möglich, zu löschen. Aber nicht alle Daten dürfen direkt gelöscht werden, zum Beispiel Daten zu eine Vertragsverhältnis oder Rechnungsdaten muss der Anbieter aus rechtlichen Nachweissgründen befristet aufbewahren.
Wo kann ich mich über Massnahmen nach Identitätsdiebstahl und Datenleaks informieren?
Schutz und Massnahmen gegen Identitätsdiebstahl oder nach einen Dataleak werden auf vielen Webseiten beschrieben. Folgende halten wir für empfehlenswert und haben Sie deshalb hier für Dich aufgelistet:
1. BSI Hilfe für Betroffene
2. Spiegel.de Was tun, wenn die eigenen Daten Teil eines großen Leaks sind?
3. Heise: Email Konto gehackt – was tun ?
Werbung*