Hacks bei Vitrado, Bulgariens Steuerbehörde und mehr

Vitrado, eine Tochter von Freenet, wurde gehackt. Das Gleiche ist Bulgariens Steuerbehörde passiert. Und in den USA wurde bekannt, dass eine Insulinpumpe unsicher ist. Hier ein kleiner Sammelbeitrag zu Sicherheitsmeldungen der letzten Tage.


Anzeige

Hack bei Bulgariens Steuerbehörde

Die bulgarische Steuerbehörde NAP wurde erfolgreich von Hackern angegriffen. Es ist davon auszugehen, dass die Daten von Millionen bulgarischer Personen erbeutet wurden. Denn die Behörde NAP verwaltet nicht nur Steuersachen, sondern auch die Renten des Landes.

Bekannt wurde das, weil bei drei bulgarischen Medien ein Bekennerschreiben Russlands einging. Darin bezeichnet sich der Bekenner als Staatsbürger Russlands und will Zugriff auf 110 Datenbanken der Steuerbehörde gehabt haben. Einige Details zu diesem Fall lassen sich in diesem heise-Artikel nachlesen. Bei Reuters ist ein englischsprachiger Artikel abrufbar.

Hack bei Freenet-Tochter Vitrado

Auch bei der Freenet-Tochter Vitrado gab es einen Hack, bei dem Angreifer auf die persönlichen Daten von rund 67.000 Nutzern zugreifen konnten. Golem zitiert Freenet-Sprecherin Nadine Mette mit der Aussage: Wir gehen davon aus, dass Daten von ca. 67.000 Affiliate-Partnern gestohlen worden sind."

Laut der Freenet-Sprecherin war vom Hack eine 'SQL-Datenbank zur Speicherung von Daten der Affiliate-Partner der New Directions GmbH, um Prämien für Werbemaßnahmen den Partnern zuordnen und auszahlen zu können.' Neben Name, Anschrift und E-Mail-Adresse hätten die Angreifer auch die Bankverbindung (IBAN/BIC) erlangen können, so Golem in diesem Artikel.


Anzeige

AavGo-Leak betrifft poteniell 8 Millionen Datensätze

AavGo ist eine Plattform für das Hotelmanagement (Hospitality Management Platform). Diese Plattform wird laut Wizcase von Firmen aus nachfolgender Liste genutzt (wobei möglicherweise auch Testinstallationen enthalten sind).

  • Baymont Inn & Suites
  • The Row Hotel
  • Stay Cal Hotels
  • Zenique Hotels
  • Holiday Inn Express
  • Days Inn
  • BestWestern Hotels & Resorts,
  • Lia Hotel
  • Mylo Hotel
  • Hotel Zico
  • Santa Fe Sage Inn & Suites
  • Alura Inn
  • Menlo Park Inn
  • Stone Villa Inn
  • Alpine Inn & Suites
  • Crowne Plaza
  • Guestline
  • Equinox Solutions, Ltd.

Die Leute von Wizcase haben mich gerade per Mail darauf aufmerksam gemacht, dass die Software wohl Schwachstellen aufwies. White Hat Hacktivist Daniel Brown fand im Auftrag von Wizcase einen nicht wirklich abgesicherten Datenbankserver, der anscheinend zu AavGo, einem Unternehmen für Gastgewerbetechnologie, gehört. Auf dem Server war (laut Aussage von Brown) eine ElasticSearch-Engine installiert, die sich ohne Authentifizierungsmechanismus ansprechen ließ. Da der Server über das Internet zugänglich ist, konnte praktisch jeder die ElasticSearch-Daten abrufen.


(Quelle: Wizcase)

Der Server der Kommunikationsplattform für Gäste, AavGo, leakte (gemäß dem Artikel von Wizcase) Benutzernamen, Passwörtern und persönlichen Daten von mindestens zwei Kunden (Equinox und Guestline). Die Schwachstelle bestand etwa 3 Wochen und wurde am 16. Juli 2019 geschlossen. Die Sicherheitsforscher haben ihre Details in diesem Blog-Beitrag veröffentlicht.

Ergänzung: Von der Pressebetreuung bei Oseon.com ist mir der folgende Text zugegangen, den ich hier einfach einstelle.

Ich nehme Bezug auf Ihren Beitrag, der heute über das Aavgo Hack veröffentlicht wurde und möchte Sie bitten, Fakten darin richtig zu stellen.

Guestline nutzt Aavgo nicht als Technologie im Property Management System. Es gab lediglich eine limitierte Testnutzung durch zwei Hotels. Wir bereiten gerade ein offizielles Statement dazu vor, das ich Ihnen schnellstmöglich zusenden werde. Bis dahin würde ich Sie bitten den Artikel zu korrigieren.

In Tech Crunch wurde bereits die falschen Fakten aus dem Artikel entfernt (https://techcrunch.com/2019/07/16/aavgo-exposed-hotel-bookings/) und ein Update hinzugefügt unter dem Artikel, allerdings kursieren noch in anderen Quellen falsche Tatsachen.

Anmerkung von mir: In obigem Text ist mit keiner Zeile auf einen Artikel bei Techcrunch Bezug genommen worden (ich kannte den Artikel bisher nicht). Der oben verlinkte Blog-Beitrag von Wizcase gibt nach wie vor Guestline mit als Nutzer an. Ich habe den obigen Textausriss geprüft und habe aus dieser Sichtweise keinen Anlass zur Korrektur gefunden – außer, dass Guestline Property System falsch ist (ich habe das auf Guestline reduziert). Denn es gab ja 'eine limitierte Testnutzung durch zwei Hotels' von Guestlines. Hier noch das Statement der Firma, das ich der Vollständigkeit halber publiziere:

Guestline Erklärung zur Aavgo Sicherheitslücke

Nach der jüngsten Meldung über ein Sicherheitsleck, das sich auf Aavgo auswirkt, wurde fälschlicherweise behauptet, dass Guestline Aavgo als Basistechnologie in unserem Property Management System verwendet. Das ist sachlich falsch. Guestline verwendet Aavgo nicht für die zugrunde liegende Property Management System-Technologie.

Unsere Beteiligung an AavGo beschränkte sich auf einen Test in nur zwei Hotels, die die AavGo Housekeeping App zur Planung der Raumreinigung und -wartung einsetzten und eine Schnittstelle zu ihrem PMS benötigten. In diesen Tests haben die Hotels AavGo nicht für die Kundenbetreuung eingesetzt, daher wurde dies auch ungenau berichtet. Keiner unserer Kunden, auf die im Artikel verwiesen wird, verwendet die Aavgo-App.

Wir haben die Schnittstelle zur AavGo Housekeeping App mit sofortiger Wirkung geschlossen.

Mit dieser Meldung dürfte der Sachverhalt hinreichend geklärt sein. Allerdings könnte das Ganze jetzt auf einen negativen Streisand-Effekt hinauslaufen. Techcrunch wurden 'sofortige rechtliche Schritte' bei Veröffentlichung des Artikels (wenn ich es richtig sehe, von AavGo) angedroht, zumindest lese ich dies aus deren aktuellem Text (siehe folgender Ausriss) heraus.

Midway during our correspondence, Desai copied the company's outside counsel, a Texas-based law firm, which threatened "immediate legal action" ahead of publishing this report.

Ohne die Mails zu obigem Thema wäre ich nicht auf diesen Sachverhalt aufmerksam geworden.

US-Mobilfunkanbieter Sprint gehackt

Der US-Mobilfunkanbieter Sprint hat bekannt gegeben, dass er am 22. Juni 2019 über eine Samsung-Webseite gehackt wurde. Die Hacker erbeuteten Kundendaten wie Name, Rechnungsdaten, Gerätedaten. Einige Details finden sich bei ZDNet.com.

Datenverlust bei Swisscom MyCloud

Beim Schweizer Anbieter Swisscom haben einige hundert Kunden in MyCloud gespeicherte Daten unwiederbringlich verloren. Details lassen sich in diesem heise-Artikel nachlesen.

Medtronic Insulin-Pumpen unsicher

Es ist schon seit Ende Juni 2019 bekannt, das Department of Homeland Security (DHS) und Medtronic sowie die Food and Drug Administration (FDA) warnen in einer Pressemitteilung vor einer kritischen Schwachstelle in den Insulinpumpen der MiniMed 508 und Paradigm-Serie. Details finden sich in diesem Artikel.

Instagram-Konten hackbar

Unschöne Geschichte, auf die ich in diversen Blog-Beiträgen gestoßen bin (Blog-Leser Leon hat mich auch darauf aufmerksam gemacht). The Hacker News beschreibt in diesem Artikel, wie Hacker eigentlich jedes Instagram-Konto knacken können.

Media-Dateien in WhatsApp und Telegram manipulierbar

Wenn Nutzer in WhatsApp oder Telegram Mediendateien zugesandt bekommen, sollte man Vorsicht walten lassen. The Hacker News beschreibt hier, wie Hacker diese Mediendateien manipulieren können.

Cloudflare legt Infos bzgl. Juni-Ausfall offen

Hat nicht direkt mit einem Hack zu tun, ich nehme es aber mal mit rein. Der Anbieter Cloudflare erlitt Anfang Juni 2019 einen Ausfall (siehe Cloudflare und Tweetdeck Ausfälle). Inzwischen sind die Hintergründe bekannt – Cloudflare hat das in einer Analyse offen gelegt. Golem hat das Thema hier aufbereitet.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.