[English]Heute mal wieder ein kleiner Überblick über Sicherheitsprobleme in der IT. Es geht um ein Datenleck bei einem Startup, welches Zahlungsabwicklungen macht, über Schwachstellen bei Smart-Home und kompromittierte Apps bis hin zu einem gehackten Ad-Server.
Anzeige
Datenleck bei Startup Paay
Paay ist ein Startup-Unternehmen im Bereich des Zahlungsverkehrs. Nun ist ein riesige Datenbank aufgetaucht, in der der Kreditkartentransaktionen aus acht Monaten offen gespeichert sind. Die Daten umfassen auch die vollständigen Kreditkartennummern im Klartext.
Der Sicherheitsforscher Anurag Sen hat die offene Datenbank im Internet gefunden. Diese wurde wohl am 3. April 2020 für einen neuen Dienst angelegt, vergaß aber, die Datenbank zu schützen. Techchrunch hat das Ganze in diesem Artikel aufbereitet. In folgendem Tweet weist Zack Whittaker auf die Stellungnahme des Firmengründers hin.
Paay's co-founder disputed the findings. "We don't store card numbers, as we have no use for them," he said. So we sent him a portion of the exposed data showing card numbers in plaintext. We didn't hear back. (We blanked out the full numbers below.) https://t.co/rKPx3G1BCP pic.twitter.com/txqctqI1M5
— Zack Whittaker (@zackwhittaker) April 22, 2020
Der streitet ab, dass es Kreditkartennummern in der Datenbank gäbe, weil man diese nicht brauche. Techchrunch hat ihm dann einen Datensatz mit genau diesen Daten geschickt und nichts mehr gehört.
Anzeige
Schwachstellen in mehreren Smart-Home-Hubs
Sicherheitsanbieter ESET hat sich sogenannte Smart-Home-Hubs vorgenommen, über die sich Geräte im Haushalt steuern lassen. Der nachfolgende Tweet weist darauf hin.
Serious flaws found in multiple smart home hubs: Is your device among them?
https://t.co/0kqdGyPVmE via @welivesecurity— Aryeh Goretsky (@goretsky) April 22, 2020
Ergebnis der Untersuchung: In verschiedenen Smart-Home-Hubs gibt es gravierende Schwachstellen. Eset hat die Details in diesem Blog-Beitrag offen gelegt. Bei eQ-3 hat man wohl auf Grund der Eset-Rückmeldungen Updates herausgebracht, wie dieser Kommentar hier im Blog zeigt.
Revive AD-Server gehackt
Die meisten Online-Publisher verwenden gehostete Anzeigenserver-Plattformen wie Google Ad Manager zur Schaltung ihrer Anzeigen (ist in meinen Blogs der Fall). Einige Publisher verwenden selbst gehostete Anzeigenserver-Plattformen, um mehr Kontrolle und Flexibilität bei der Schaltung ihrer Anzeigen zu erhalten. Eine selbst gehostete Open-Source-Plattform, die es bereits seit zehn Jahren gibt, ist der Revive Ad Server.
Revive ad servers being hacked to distribute malicious ads – by @LawrenceAbramshttps://t.co/MUFaj3xA2K
— BleepingComputer (@BleepinComputer) April 22, 2020
Nun wurde bekannt, dass die Malvertising-Gruppe Tag Barnakle sich in die Anzeigenserver von Revive einhackt, um bösartige Werbung auszuliefern. Die Sicherheitsfirma Confiant gibt an, dass etwa 60 Server betroffen seien. Bleeping Computer hat einen Beitrag dazu erstellt, auf den in obigem Tweet verlinkt wird. Ein deutschsprachiger Beitrag findet sich bei heise.
OnePlus 7 Pro: Fingerabdruck abziehen
Das ist ja mal nett, der Fingerabdruck-Sensor des OnePlus 7 Pro Android-Smartphone besitzt eine Schwachstelle. Angreifer konnten die Bitmap eines Fingerabdrucks abziehen.
Vulnerability lets attacker retrieve fingerprint bitmap data from OnePlus 7 Pro Android phoneshttps://t.co/fYsMfZNoaj pic.twitter.com/mKbtStTXlo
— Catalin Cimpanu (@campuscodi) April 23, 2020
Der Hersteller hat inzwischen ein Firmware-Update zum Schließen der Schwachstelle freigegeben.
Anzeige
