Aladdin findet Server mit 200.000 FTP-Passwörtern

Der USB-Dongle-Hersteller Aladdin hat im Internet einen Server gefunden, auf dem sich über 200.000 FTP-Zugangsdaten für öffentliche Webserver befanden. Der eCrime-Server hatte bei seiner Entdeckung schon etwa 107.000 Zugangsdaten als gültig validiert. Auf 82.000 der kompromittierten Webserver war bereits Malware eingeschleust worden.

Unter den geschädigten Unternehmen befanden sich mehrere Fortune-500-Firmen, darunter auch der US Postal Service und Rüstungsunternehmen. Ebenso wurden die Server einiger Regierungsbehörden und Universitäten verseucht.

Wie die Cyberkriminellen an die Daten kamen, ist bislang nicht geklärt. Es lässt sich jedoch vermuten, dass die Passwörter bei Providern und Carriern durch gezielte Abhöraktionen abgegriffen wurden. Das FTP-Protokoll übermittelt Passwörter grundsätzlich unverschlüsselt.

Webhoster bieten ihren Kunden meist nach wie vor FTP an, um Webserver mit Inhalten zu füllen. Der Vorteil liegt darin, dass FTP-Clients standardmäßig auf Client-Computern unter allen Betriebssystemen installiert sind. Für sichere Alternativen, beispielsweise FTPS (FTP über SSL/TLS), SFTP und WebDAV über HTTPS, müssen insbesondere unter Windows für diese Protokolle erst Clients installiert werden.

Wegen der großen Unsicherheit des FTP-Protokolls ist von seiner Verwendung jedoch generell abzuraten. Bei der Auswahl eines Hosters sollte stets darauf geachtet werden, dass der Hoster auch sichere Alternativen anbietet.