Sicherheitsinformationen (1. April 2020)

Leider kein April-Scherz – in diesem Artikel findet sich ein Überblick über diverse Sicherheitsvorfälle der letzten Tage. Datenlecks noch und nöcher gehören zur Tagesordnung. Das Marriott ist erneut von einem Hack betroffen, Datensätze von Bürgern Maltas oder Irans sind öffentlich geworden, ein WordPress SEO-Plugin hat eine Schwachstelle, Zoom ist unter Windows angreifbar und mehr.

Marriott Datenleck betrifft bis zu 5,2 Millionen Gäste

Bei der Hotelkette Marriott gab es ein Datenleck, welches bis zu 5,2 Millionen Gäste betreffen könnte. Bleeping Computer geht in nachfolgendem Tweet auf dieses Thema ein.

Marriott Reports Data Breach Affecting Up to 5.2 Million Guests – by @sergheihttps://t.co/DDhB9R0j7f

— BleepingComputer (@BleepinComputer) March 31, 2020

In einer Bekanntmachung vom 31. März 2020 schreibt Marriott, dass man Ende Februar 2020 ungefugte Zugriffe auf eine unbekannte Anzahl an Datensätze über Gäste festgestellt habe. Es wird angenommen, dass diese Zugriffe seit Mitte Januar 2020 laufen, eine Untersuchung wurde eingeleitet. Betrifft potentiell 5,2 Millionen Gäste und deren Daten. heise hat hier einen deutschsprachigen Artikel zum neuen Vorfall.

Marriott ist in Sachen Datenlecks bereits erfahren. Im Artikel Marriott bekommt 123 Millionen $ Strafe wegen DSGVO-Verstoß hatte ich über eine Strafe von 123 Millionen $ berichtet, die wegen eines Datenschutzverstoßes verhängt werden soll. 2018 musste die Hotellkette Marriott International Inc. mitteilen, dass dass unbefugte Dritte über drei Jahre Zugriff eine interne Datenbank mit Daten von Gästen der Starwood Hotels hatten. Es wurde auf Datensätze von 500 Millionen Kunden zugegriffen. Laut Marriott international hatten die Angreifer wohl bereits seit 2014 Zugriff auf diese Datenbank von Starwood Hotel. Abgezogen wurden sehr persönliche Daten wie Name, Anschrift, Telefonnummern, E-Mail-Adressen, Passnummern, Kundenkartennummern, Geburtsdatum, Geschlecht und  mehr. Auch Kreditkartendaten wurden abgezogen.

Wählerdatenbank aus Malta geleakt

Gerade ist eine MySQL-Datenbank mit den persönlichen Daten von 337.384 Wählern aus Malta öffentlich geworden.

MySQL database containing 337,384 voters from Malta was exposed without security.

– Data includes ID numbers, names, addresses, phones, dates of birth.
– Malta has 500,000 total residents.
– Exposed data was on a local Maltese IT company.@MaltaGov pic.twitter.com/NQliwKmLrW

— Under the Breach (@underthebreach) March 31, 2020

Die Datenbank war ungeschützt und wurde wohl durch eine maltesische IT-Firma verwaltet.

Hacker bieten 42 Millionen iranische Telefonnummern an

In einem Hacker-Forum werden gerade die persönlichen Daten samt Telefonnummern von 42 Millionen Iranern angeboten.

– Personal details & phone numbers of 42 million Iranians sold on a hacking forum ⚠️

More: https://t.co/RLe7CmJpPj#Scurity #Privacy #Iran #Leaks #Elasticsearch #Hacking

— HackRead.com (@HackRead) March 30, 2020

Forscher von Comparitech haben eine falsch konfigurierte (ungesicherte) Datenbank auf einem Elasticsearch-Server gefunden. Nach der Analyse ergab sich, dass die Datenbank Daten von 42 Millionen iranischen Bürgern enthält. Laut diesem Blog-Beitrag der Sicherheitsforschern wurde die Datenbank ursprünglich von einer Gruppe iranischer Hacker unter Alias "Samana Shikar" (Jagdsystem) hochgeladen.

[Iran story update] I sent abuse report to the hosting provider on March 24th. Next day elk was attacked by Nightlionsecurity bot which destroyed all data (more than 7,3K IPs now!!). IP was still up, with no data – until yesterday when it was finally shut down. pic.twitter.com/hV6Dl2z2tt

— Bob Diachenko (@MayhemDayOne) March 31, 2020

Sicherheitsforscher Bob Diachenko hat am 25. März 2020 den Vorfall an den Hoster gemeldet, der die Datenbank dann offline nahm. Vorher wurde die Datenbank wohl gelöscht. Der Messenger-Dienst Telegram gibt an, dass die Daten aus einem inoffiziellen Fork von Telegram stammen, also nichts mit Telegram zu tun hat. Telegram ist eine Open-Source-Anwendung, die es Dritten erlaubt, ihre eigenen Versionen davon zu erstellen. Da die offizielle Telegram-App im Iran häufig blockiert wird, greifen viel Iraner zu inoffiziellen Versionen.

Saudi Arabien spioniert seine Bürger in den USA aus

Gerade ist bekannt geworden, dass Saudi Arabien seine Bürger bei Reisen in den USA über deren Mobilfunkgeräte ausspioniert und überwacht. Der britische Guardian hat in einem Artikel (siehe folgender Tweet) die Sache offen gelegt.

Revealed: Saudis suspected of phone spying campaign in US https://t.co/tIrNHDSp8F

— Aryeh Goretsky (@goretsky) March 29, 2020

Ein deutschsprachiger Bericht findet sich hier bei heise.

Houseparty lobt 1 Million $ Prämie aus

Houseparty ist ein sozialer Netzwerkdienst, der das Chatten von Gruppenvideos über mobile und Desktop-Apps ermöglicht. Wird in Zeiten der Corona-Krise für Videokonferenzen missbraucht. In den letzten Tagen gab es aber Vorwürfe, dass die App gefährlich sei und Passwörter auslese.

We are investigating indications that the recent hacking rumors were spread by a paid commercial smear campaign to harm Houseparty. We are offering a $1,000,000 bounty for the first individual to provide proof of such a campaign to bounty@houseparty.com.

— Houseparty (@houseparty) March 31, 2020

Der Betreiber hat jetzt eine Million US $ als Bugbounty ausgelobt, Details zum ganzen Vorgang lassen sich z.B. hier, hier und bei T-Online nachlesen.

Zoom im Fokus von Cyber-Kriminellen

Die Videokonferenzplattform Zoom ist in den Fokus von Cyber-Kriminellen geraten. Diese setzen bösartige Domänen auf und üben sich im sogenannten Zoom-Bombing (illegales Eindringen in Videokonferenzen).

Cyberkriminelle missbrauchen die Video-Konferenzplattform Zoom und setzen bösartige Domänen und Dateien im Zusammenhang mit Zoom auf, auch „Zoom-Bombing" (unautorisiertes Eindringen in Online Meetings, um zu stören) nimmt zu https://t.co/o8ZLEbTGEV pic.twitter.com/aHPGoNPMXj

— Trend Micro Deutschland (@TrendMicroDE) March 31, 2020

Trend Micro hat in diesem Blog-Beitrag (Englisch) einige Informationen zu diesem Thema zusammen getragen. Zudem werden Meetings in Zoom nicht Ende-zu-Ende-verschlüsselt, wie man hier nachlesen kann.

Ergänzungen: Zoom hat im Windows-Client zudem eine Sicherheitslücke, über die die Zugangsdaten abgefischt werden könnten. Bleeping Computer hat hier einen Beitrag dazu veröffentlicht.

WordPress SEO Plugin Rank Math unsicher

Im WordPress SEO Plugin Rank Math gibt es eine schwere Sicherheitslücke, die dazu ausgenutzt werden kann, um jedem angemeldeten Nutzer Administratorenrechte zu gewährleisten.

Critical WordPress Plugin Bug Lets Hackers Turn Users Into Admins – by @sergheihttps://t.co/9wlmKQ2qaS

— BleepingComputer (@BleepinComputer) March 31, 2020

Darauf weist Bleeping Computer in obigem Tweet und dem verlinkten Artikel hin. Die Version 1.0.41.2 behebt die Schwachstelle – es gibt aber wohl 200.000 Webseiten, die das Plugin verwenden und noch nicht alle aktualisiert sind.

Datenleck bei Secure Cloud-Backup-Anbieter

Sicherheitsforscher von vpnmentor haben mich vor einigen Tagen über ein Datenleck beim Anbieter DataDepositBox informiert. Das ist ein kanadisches börsennotiertes Unternehmen, welches Einzelpersonen und kleinen Unternehmen in 84 Ländern sichere Cloud-Backup-Speicherdienste anbietet.

Die Sicherheitsforscher stießen auf eine offene und ungesicherte Datenbank mit etwa 270.000 Datensätzen. Diese enthielten private Daten von Kunden, wie z.B. Anmeldedaten für den Administrator, einschließlich Benutzernamen und Klartext-Passwörter, IP-Adressen, E-Mail-Adressen usw. Details finden sich in diesem englischsprachigen Blog-Beitrag.

Und das Allerletzte: Der Autovermieter Buchbinder lässt die vom Hack betroffenen Kunden (siehe Datenleck beim Autovermieter Buchbinder) ziemlich im Regen stehen. Information scheint 'Mangelware' zu sein, wie heise hier ausführt.