Registry Gandi.net kompromittiert
Gandi.net wurde im Jahr 1999 von den französischen Internet-Experten Pierre Beyssac, Laurent Chemla und Valentin Lacambre gegründet. Das Unternehmen war der erste, von der ICANN akkreditierte Registrator für .COM, .NET, .ORG, .BIZ, .INFO, .NAME, .BE, .FR, .EU Domains in Frankreich und hat heute Niederlassungen in San Francisco (USA), Bissen (Luxemburg) und Taipei (Taiwan). Die Firmenzentrale befindet sich in Paris.
Seit dem Jahr 2005 wurde das Produktangebot kontinuierlich erweitert, sodass heute verschiedene Tools für private und berufliche Online-Präsenzen angeboten werden.
Gandi.net verwaltet bereits mehr als 1.8 Millionen Domainnamen aus rund 190 Ländern und zählt damit zu den Top-Ten Registries in Europa.
Besonderes Augenmerk hat die Registry auf ehrlichen und kompetenten Service gelegt. Große Unternehmen aus der internationalen Wirtschaft, Celebrities und europäische und staatliche Organisationen sind Kunden, deshalb ist Diskretion das höchste Gebot des Unternehmens. Bis jetzt, denn vor kurzem wurde Gandi.net durch Unbekannte kompromittiert.
Hacker stiehlt Login-Daten von Gandi.net
Anfang Juli hat ein bisher unbekannter Angreifer die Login Daten für den technischen Provider von Gandi.net verwendet, um die DNS Einträge von Domains zu manipulieren. Betroffen sind insgesamt 751 Domains, die ab diesem Zeitpunkt den gesamten Traffic auf Malware-Sites umgeleitet haben.
Die erste Warnung über die Kompromittierung kam von der Schweizer Registry Switch.ch. Sie hatte Kunden der betroffenen Seiten gewarnt, dass Besucher der Domains auf die Infrastruktur des Exploit Kits RIG geschickt wurden.
Der Registrator Gandi gibt an, dass ausschließlich Adressen mit Länder-Domains betroffen waren.In einem Detail-Protokoll wird ausgeführt, dass die Manipulationen am Freitag, dem 7. Juli zwischen 10:04 Uhr und 11:44 Uhr mitteleuropäischer Sommerzeit (UTC plus zwei Stunden) vorgenommen wurden. Das Problem wurde schnell erkannt und die Manipulation durch die technische Abteilung von Gandi bereits um 15.50 Uhr wieder bereinigt. Um die normale Routine wieder herzustellen, benötigt es nach Experten-Angaben aber noch zwei bis drei Stunden, da die lokalen DNS Server lokalen DNS-Server die Korrekturen erst übernehmen müssen und noch die TTLs (Time-to-Live) laufen.
Gandi.net hat zudem protokolliert, dass keins der – während dieser Zeit erstellten SSL-Zertifikate – „faul“ sei und weist entsprechende Prüfungsergebnisse nach. Zudem legt das Unternehmen großen Wert auf den Fakt, dass der Server selbst nicht gehackt wurde. Gandi teilt mit dass „möglicherweise die Login-Daten für den Server „abhanden“ gekommen sind, weil dessen Login über ungesicherte Server erfolgte“. Gleich nach Beendigung des Angriffs hat die Registry ein Sicherheitsaudit für seine komplette Infrastruktur vorgenommen. Über die Personalie des Angreifers wurde nicht spekuliert, da vorerst Spuren gesichert und ausgewertet werden..