[English]Der Anbieter Slickwraps ist aufgefallen, weil Sicherheitsforscher auf unterschützte Kunden- und Finanzdaten zugreifen konnten. Der Fall offenbart mal wieder Ignoranz und unglaublicher Schlendrian, da eine längt patchbare Dirty Cow-Schwachstelle nutzbar war.
Anzeige
Slickwraps ist ein in den USA angesiedelter Einzelhändler, der ein großes Sortiment an vorgefertigten Schutzhüllen für mobile Geräte verkauft. Es gibt auch die Möglichkeit, Sonderanfertigungen mit Bildern, die von Kunden hochgeladen wurden, herstellen zu lassen.
Der Datenschutzvorfall
Die Kollegen von Bleeping Computer haben hier den Fall der Datenschutzverletzung aufbereitet. In einem Beitrag für Medium gibt ein Sicherheitsforscher namens Lynx an, dass er im Januar 2020 vollen Zugang zur Slickwraps-Website erhalten konnte. Dazu nutze er eine Schwachstelle in einem Upload-Skript aus, das für Anpassungen an Smartphone-Cases durch die Nutzer verwendet wurde.
Der Beitrag ist inzwischen auf privat gesetzt worden und nicht mehr einsehbar. Es findet sich eine Information, dass der Post die Regeln von Medium verletzt habe und analysiert werde. Die Offenlegung im Medium-Beitrag erfolgte, nachdem der Sicherheitsforscher keine Antwort auf E-Mails an den Anbieter erhalten hatte.
Über die Schwachstelle will Lynx Zugriff auf die Lebensläufe der Mitarbeiter, 9 GB an persönlichen Kundenfotos, das ZenDesk-Ticketing-System, die API-Zugangsdaten sowie auf die persönlichen Kundendaten mit gehashten Passwörtern, Adressen, E-Mail-Adressen, Telefonnummern und Transaktionen erhalten haben.
Anzeige
Nachdem Lynx versucht hatte, diese Schwachstelle an Slickwraps zu melden, sei er mehrfach blockiert worden, so der Sicherheitsforscher. Er erklärte, dass es ihm nicht um die Bug-Bounty-Prämie gehe, sondern dass Slickwraps die Datenschutzverletzung offenlegen sollte.
Jemand hackt und verschickt Mails
Lynx informierte Bleeping Computer, dass ein weiterer nicht autorisierter Benutzer die Schwachstelle nach Veröffentlichung des Medium-Beitrags ausnutzte, um eine E-Mail an 377.428 Kunden zu schicken, die das ZenDesk-Helpdesk-System von Slickwraps nutzen.
Well that's a big old yikes from @SlickWraps pic.twitter.com/28SOEMIBZ9
— Toneman (@Toneman) February 21, 2020
Diese E-Mails beginnen mit "Wenn Sie dies lesen, ist es zu spät, wir haben Ihre Daten" und sind dann mit dem Medium-Post von Lynx verknüpft. Auf Twitter haben Leute Screenshots davon veröffentlicht.
We sent an email to all Slickwraps users today regarding a data leak that occurred. You can read in more detail about it and the actions we took here: pic.twitter.com/RPDxu41MCO
— Slickwraps (@SlickWraps) February 21, 2020
Nachdem Bleeping Computer nachgefasst hat, musste Slipwraps den Datenschutzvorfall eingestehen (siehe obiger Tweet). Lawrence Abrams hat das sehr säuberlich im Bleeping Computer-Artikel aufbereitet.
Die schmutzigen Hinterhöfe
Ich hatte das von Bleeping Computer zwar gelesen, wollte es aber wegen Ami-Shop, nicht relevant, unter den Tisch fallen lassen. Dann bin ich auf eine Reihe von Tweets des MalwareHunterTeams gestoßen.
Crazy story… https://t.co/3IBVws4aHB
— MalwareHunterTeam (@malwrhunterteam) February 21, 2020
Mit obigem Tweet war mein Interesse geweckt und ich habe in den Tweets des Teams geblättert. Hier ein Folgetweet:
One thing needs to be said: the people sending these emails included links for a lot of people based on their location (2nd screenshot is a random example, but doing a search on Twitter shows lots more), which shows they actually spent time on this, not just got in & mass mail… pic.twitter.com/OrFwnPECXg
— MalwareHunterTeam (@malwrhunterteam) February 21, 2020
Dort sprang mir der Satz 'Having a box vulnerable to Dirty COW (meaning not alone that, but imagine if that is still not fixed…) in 2020' ins Auge. Nur mal so mein Artikel Sicherheitsinfos 21.10.2016, der die Dirty Cow-Schwachstelle im Linux-Kernel beschreibt.
Die Sicherheitslücke CVE-2016-5195 ermöglicht normalen Benutzer die Rechteausweitung, so dass Dateien überschrieben werden können, obwohl eigentlich nur Leserechte zulässig wären. Die Lücke existierte bereits seit 9 Jahren im Linux Kernel. Und die Betreiber der Plattform Slickwraps haben diese immer noch nicht geschlossen. Da liegt wohl einiges im Argen.
Anzeige
