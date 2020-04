Die Services des Online-TV-Recorder-Dienstes Save.TV sowie der Plattform UseNeXt, über die sich UseNet-Inhalte abrufen lassen, sind derzeit komplett offline: Wer die jeweilige Website ansurft, findet dort lediglich eine Mitteilung, die Kunden über einen (Hacker-)Angriff informiert.

Beide Anbieter weisen darauf hin, dass im Zuge des Hacks möglicherweise personenbezogene beziehungsweise Account-Daten kopiert wurden. In beiden Fällen könnten dies potenziell "Name, Rechnungsanschrift, Zahlungsdaten wie IBAN und Kontonummer" sowie (nicht näher benannte) weitere Daten von Kunden sein, die die Unternehmen zur Durchführung des jeweiligen Vertrags verarbeitet haben. Durch den Zugriff auf die Bankdaten bestehe vor allem auch das Risiko, Opfer eines Betrugs oder Identitätsdiebstahls zu werden.

Sowohl Save.TV als auch UseNeXt prüfen derzeit, teils in Zusammenarbeit mit IT-Sicherheitsunternehmen, das Ausmaß des Hacks und arbeiten daran, ihre Services, die zum Schutz der Kunden vorerst offline genommen wurden, wieder verfügbar zu machen. Die zuständigen Datenschutzbehörden seien informiert worden. Save.TV hat seine Nutzer bereits am gestrigen Montag zusätzlich per E-Mail über den Vorfall in Kenntnis gesetzt.

Sicherheitslücke in der Infrastruktur von Partner Omniga

Eine kurze Überprüfung durch heise Security zeigte, dass sowohl Save.TV als auch UseNeXt im Portfolio eines Unternehmens namens Omniga als Kunden geführt werden. Omniga übernimmt nach eigenen Angaben "die Konzeption und Umsetzung von onlinebasierten Geschäftsmodellen" sowie deren "komplette Vermarktung, Weiterentwicklung und Kundenservice".

Angesichts des zeitlichen Zusammentreffens der Datenlecks und der sehr ähnlich lautenden Stellungnahmen auf den Websites der Unternehmen schien ein Zusammenhang denkbar. heise Security und der Autor dieses Artikels baten Omniga daher um eine diesbezügliche Stellungnahme – und tatsächlich bestätigte eine Sprecherin des Unternehmens am frühen Dienstagabend telefonisch, dass es einen Hackerangriff auf die IT-Infrastruktur von Omniga gegegen habe.

Nachdem dieser bemerkt wurde, seien sicherheitshalber alle IT-Systeme heruntergefahren worden – und in der Konsequenz waren auch die von Omniga betreuten Dienste SAFE.TV und UseNeXT.de vorübergehend komplett offline. Weitere Omniga-Kunden seien nicht vom Hack betroffen.

VPN-Schwachstelle als wahrscheinliche Ursache

Als Angriffspunkt vermute Omniga derzeit eine Schwachstelle, die sich aus dem Corona-Shutdown ergab, aufgrund dessen Omniga-Mitarbeiter ins Home-Office geschickt worden waren. Die Anbindung an eine im Unternehmen genutzte Branchenlösung sei über einen VPN-Zugang. Und über diesen sei nach bisherigen Erkenntnissen wohl auch der Angriff auf die interne IT von Omniga erfolgt.

Das Unternehmen steht laut der Sprecherin derzeit mit dem Anbieter der betreffenden VPN-Software in Verbindung, um weitere Details zum Sachverhalt herauszufinden. Genaueres konnte sie auf Nachfrage nicht offen legen. Es sei derzeit noch immer unklar, ob tatsächlich Daten von SAFE.TV- und UseNeXT.de-Kunden abgegegriffen wurden. Dies werde jetzt durch forensische Analysen Untersuchungen der Log-Dateien evaluiert. Die Datenschutzaufsichtsbehörden seien zeitnah über den Vorfall informiert worden.

Anbieter empfehlen umgehende Passwortänderungen

Wer Kunde bei einem der beiden Save.tv oder UseNeXt ist, sollte laut den veröffentlichten Hinweisen umgehend die Passwörter seiner Accounts ändern. Gleiches gilt auch für Benutzerkonten bei anderen Services, für die die gleichen Anmeldedaten verwendet wurden.

Empfohlen wird auch, innerhalb bestehender Save.TV- beziehungsweise UseNeXt-Accounts zu überprüfen, ob Änderungen vorgenommen wurden, die auf einen Zugriff durch Angreifer hindeuten könnten. Das könnten etwa Änderungen an den Einstellungen zur automatischen Weiterleitung von Nachrichten sein. Auf einen Kontenmissbrauch kann auch ein erhöhtes Aufkommen an Phishing-Mails oder Newsletter-Anmeldungen in E-Mail-Konten hinweisen.

Unbeantwortet bleibt in beiden Hinweisen allerdings die Frage, wie und wo die Account-spezifischen Änderungen und Überprüfungen vorgenommen werden können/sollen, solange die Services nicht verfügbar sind.

Weitere Informationen wie auch "Notfallnummern", unter denen potenziell Betroffene den Anbietern weitere Fragen stellen können, sind den Sicherheitshinweisen auf usenext.de und save.tv zu entnehmen.

Update 28.04.20, 18:20: Mittlerweile ist klar, dass ein Hackerangriff auf das Unternehmen Omniga die Ursache für die Datenlecks ist. Diese Meldung wurde in den Abschnitten "Sicherheitslücke in der Infrastruktur von Partner Omniga" und "VPN-Schwachstelle als mögliche Ursache" entsprechend ergänzt. (ovw)