Beim taiwanesischen Anbieter D-Link hat es einen Cybervorfall gegeben, bei dem Hacker in die internen IT-Systeme eindringen konnten. Erste Informationen über einen Cybervorfall bei D-Link gab es Anfang Oktober. Der Hersteller hat inzwischen den Vorfall bestätigt und eingeräumt, dass auch Kundendaten abgeflossen seien. Der Hack erfolgte dabei über ein altes D-View 6-System, das bereits 2015 das Ende seiner Lebensdauer erreicht hatte.
Anzeige
Ich bin über nachfolgende Meldung und den Artikel von Bleeping Computer auf den Sachverhalt aufmerksam geworden. D-Link selbst hat den Vorfall hier dokumentiert.
Meldung in einem Forum
D-Link gibt an, dass jemand am 1. Oktober 2023 einen Artikel in einem Online-Forum gepostet habe, der auf einen Hack hinwies. Es hieß, das über ein D-View-System, ein Software-Überwachungstool für lokale Netzwerkgeräte und Netzwerkadministratoren, ein Einbruch in das interne Netzwerk von D-Link gelungen sei. Bei dem Hack seien die Daten von Millionen von Nutzern gestohlen worden.
D-Link selbst wurde dann zum 2. Oktober von einem Dritten auf diesen Sachverhalt hingewiesen. Nach Bekanntwerden dieser Behauptung hat das Unternehmen eine umfassende Untersuchung der Situation eingeleitet und sofort Vorsichtsmaßnahmen ergriffen. Derzeit gibt es keine Auswirkungen auf den Betrieb von D-Link, schreibt man.
Anzeige
Details, nicht so schön
D-Link schreibt, dass nach internen und externen Untersuchungen von Experten von Trend Mirco festgestellt wurde, dass der Forenpost wohl "zahlreiche Ungenauigkeiten und Übertreibungen enthalte, die absichtlich irreführend seien und nicht den Tatsachen entsprächen". Der Hersteller gibt an, dass die erbeuteten Daten nicht aus der Cloud stammen, sondern geht davon aus, dass sie wahrscheinlich von einem alten D-View 6-System stammen. Pikant: Dieses hatte bereits 2015 sein Lebensende erreicht. Bis zu diesem Zeitpunkt wurden die Daten für Registrierungszwecke verwendet.
Die Interpretation zwischen den Zeilen: Es waren nur alte Daten auf dem System. D-Link schreibt, dass es bislang keine Hinweise darauf gibt, dass die alten Daten Benutzer-IDs oder Finanzinformationen enthielten. Es wurden jedoch einige wenig sensible und halböffentliche Informationen wie Kontaktnamen oder Büro-E-Mail-Adressen abgegriffen.
D-Link vermutet, dass der Vorfall ausgelöst wurde, nachdem ein Mitarbeiter unbeabsichtigt Opfer eines Phishing-Angriffs wurde. In Folge dieses vermuteten Vorfalls kam es zu einem unbefugten Zugriff auf lange genutzte, aber veraltete Daten. Warum dieses uralte System, welches längst aus dem Support gefallen war, immer noch in der D-Link Testumgebung aktiv betrieben wurde, hat D-Link nicht offen gelegt. Es ist auch nicht klar, warum die alten Daten noch auf dem alten D-View 6-System vorgehalten wurden.
Nach dem Vorfall hat das Unternehmen umgehend die Dienste des Testlabors eingestellt und eine gründliche Überprüfung der Zugangskontrolle durchgeführt. Bisher geht das Unternehmen davon aus, dass keine aktuellen Kundendaten betroffen sind. Beim Einbruch in das Laborsystem wurden nach Angaben von D-Link etwa 700 Datensätze (Daten zur Registrierung, Datum des letzten Login) erbeutet. Diese bezogen sich (vermutlich) nicht auf derzeit aktive Nutzer. D-Link schreibt, dass man Grund zu der Annahme habe, dass die Zeitstempel in den Daten der letzten Anmeldung absichtlich manipuliert wurden, um die veralteten Daten als aktuell erscheinen zu lassen. Diese Datensätze wurden wohl im Online-Forum als "Proof" gepostet.
Kurz zusammengefasst: Während der Post im Online-Forum behauptet, über Millionen von Nutzerdaten zu verfügen, sieht es für das Unternehmen anders aus. Die Untersuchungen ergaben bisher, dass die oder der Hacker bisher nur etwa 700 veraltete und fragmentierte Datensätze erbeutet habe. Die Daten gehören zu Konten, die seit mindestens sieben Jahren inaktiv waren. Diese Datensätze stammten aus einem Produktregistrierungssystem, das 2015 sein Lebensende erreicht hatte. Darüber hinaus handelte es sich bei der Mehrzahl der Daten um wenig sensible und halböffentliche Informationen. D-Link glaubt, mit einem "blauen Auge" davon gekommen zu sein und hofft, dass aktuelle Kunden nicht von diesem Vorfall betroffen sind.
Anzeige
Es kann (und darf) meiner Meinung nach nicht um "blaue Augen" gehen – die gab es Anfang der 1980er bei IDEAL!
Jeder Vorfall, ob nun bewußt ungewollt oder auch unbewußt gewollt, ist ein Vorfall und gehört ausgewertet!
Auch "alte" und "nicht mehr benutzte" Datensätze sind und bleiben Datensätze!
Aber naja: "…oops, passiert – bitte gehen sie weiter – passieren wird eh nicht viel mehr hier…"
Habt Ihr auch Probleme bei Aufruf des Announcements von Dlink (2. Link oben) ? Test mit 2 Browsern und 3 IP-Connections, gibt bei mir den Fehler:
Beim Verbinden mit supportannouncement.us.dlink.com trat ein Fehler auf. PR_END_OF_FILE_ERROR
Andere Sites gehen, Bsp: hxxps:// eu.dlink.com/de/de/support/support-news . – die bieten aber wohl nicht das tolle "Hose-runter"-Eingeständnis, Suchbegriff "Breach" war erfolglos (*seufz*, ich brauch sowas doch für's Panini-Sammel-Album).
Bis auf die äußerst schwache Verschlüsselung der Seite serverseitig mit EINgeschalteten SSL2+SSL3+TLS1.0 und TLS1.2 mit CipherBlockChaining Modus ist nichts auf- und ausfälliges zu berichten.
@Tom – perfekt! Danke für den Hinweis. Oft vergessen – ööhm, nun ja – Security-affine professionelle Anwender (aka Paranoiker) Ihre eigenen Company-Policies im Roleout von user.prefs bis XY… Natürlich verbot ich auf allen getesteten Browsern nach aktuellem Stand alle unsafe Ciphers etc…
@Tom – ganz NDW – ein Holz – ein Gedanke … la-la-la – Deine blauen Augen (oder User-Leaks?) … machen mich so sentimental …
Hier auch: Dum di-da dum-dum di-dum – Mutter, oh Mutter – Der Mann mit dem (unsafe Cipher) ist da
Tom's guter Tip ist in Audit-Bewertung ein F (oder 6) bei Website-Security von D-Link: hxxps://www.ssllabs.com/ssltest/analyze.html?d=supportannouncement.us.dlink.com
Nehmt nen Browser und akzeptiert alles was "unsicher" ist, um den Announce von Dlink zu lesen. Hey hey hey, ich war der unsich're Cipher … hey, hey, hey – ich bin ein Kind dieser Stadt …
D-Link eben
Wer kauft schon D-Link – ROFL. Deren Plastemüll habe ich schon vor Jahrzehnten abgeschworen. Das beste war deren Horstbox.
Die Marke ist bei mir schon vor Jahren aus dem Netz verbannt worden.
Genau so fahrlässig wie TP-Link, wo erst letztens SSHv2 mit stärkeren Cyphern in diversen Switchen per Formwareupdate nachgerüstet wurde und diverse Router von extern angreifbar sind… Aber man muss sagen, dass im Hochpreissektor fast genau so viel Rotz passiert wie bei den abgebrannten Billigmarken.
Am besten einfach IPS, DPI für SSL Traffic und diverse andere NextGeneration Securitydienste aktivieren und scharf einstellen. Da kann dann immer noch genug passieren aber das Risiko wird wesentlich minimiert.