EDIS bietet vom Webseiten-Hosting über virtuelle Server bis hin zu Root-Servern viele Hosting-Produkte an. (Bild: Fabian A. Scherschel / heise online)

Die E-Mail-Adressen zu Kundenkonten des Hosters EDIS sind bei Have I Been Pwned aufgetaucht. Kunden der Firma wurden per E-Mail vor einem Zwischenfall gewarnt.

E-Mail-Adressen des österreichischen Hosters EDIS sind in der Passwort-Leak-Datenbank Have I Been Pwned (HIBP) aufgetaucht. In einer E-Mail an seine Kunden bestätigt EDIS dies und rät allen Kunden, die Passwörter zu Kundenkonten des VPS-Angebots zu ändern. Laut dem Hosting-Anbieter stammen die E-Mail-Adressen definitiv aus der eigenen Kundendatenbank. Bank- oder Bezahldaten seien aber, so heißt es in der Nachricht an die Kunden, nicht betroffen, da diese nur bei den entsprechenden Bezahldienstleistern gespeichert werden.

EDIS hat seine Kunden mit dieser E-Mail informiert. (Bild: Fabian A. Scherschel / heise online)

Hintergründe zu dem augenscheinlichen Datenleck sind bisher nicht bekannt. Ob ein Angriff auf die Systeme des Hosters stattgefunden hat, ist genauso ungewiss, wie die Antwort auf die Frage, in welchem Ausmaße die zu den E-Mail-Adressen gehörigen Passwörter kompromittiert wurden. HIBP und dessen Betreiber, der unabhängige Sicherheitsforscher Troy Hunt, haben sich dazu bisher nicht geäußert. Eine Anfrage bei EDIS durch heise online wurde bisher nicht beantwortet. Sobald wir weitere Informationen zu dem Datenleck haben, werden wir diese Meldung entsprechend aktualisieren.

Update vom 01.08.2018 14:11 Uhr:



EDIS spricht in einer Stellungnahme gegenüber heise online davon, dass es sich "nicht um E-Mail-Adressen ihrer Webhosting-Kunden" handelt. Bei den Adressen handele es sich stattdessen "um einen eingeschränkten Teil von E-Mail-Adressen aus einer Projekt-Kundendatenbank". Man sei noch mit einer detaillierten Analyse beschäftigt. Zum jetzigen Zeitpunkt geht die Firma aber davon aus, dass es keinen Einbruch in die eigenen Systeme gegeben habe. "Angriffe auf unsere Webseiten gingen nach derzeitigem Wissensstand über das übliche Maß an Layer-7 Angriffen, sowie standard Brute-Force-Attacken nicht hinaus", so EDIS.

Eine Meldung bei der zuständigen Datenschutzbehörde sei nicht vorgesehen, da man den Vorfall als nicht gravierend genug ansehe. Gespeicherte Passwörter seien nicht kompromittiert worden, da diese "entsprechend sicher verwahrt werden", so die Stellungnahme. Nähere Details zum Angriff will man mitteilen, wenn die Untersuchungen dazu abgeschlossen sind. (fab)