{"id":228643,"date":"2020-02-22T14:34:24","date_gmt":"2020-02-22T13:34:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228643"},"modified":"2022-06-23T18:52:10","modified_gmt":"2022-06-23T16:52:10","slug":"das-slickwraps-datenleck-und-keine-lehren-gezogen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/22\/das-slickwraps-datenleck-und-keine-lehren-gezogen\/","title":{"rendered":"Das Slickwraps-Datenleck und die Dirty Cow-Schwachstelle"},"content":{"rendered":"

[English<\/a>]Der Anbieter Slickwraps ist aufgefallen, weil Sicherheitsforscher auf untersch\u00fctzte Kunden- und Finanzdaten zugreifen konnten. Der Fall offenbart mal wieder Ignoranz und unglaublicher Schlendrian, da eine l\u00e4ngt patchbare Dirty Cow-Schwachstelle nutzbar war. <\/p>\n

<\/p>\n

\"\"Slickwraps<\/a> ist ein in den USA angesiedelter Einzelh\u00e4ndler, der ein gro\u00dfes Sortiment an vorgefertigten Schutzh\u00fcllen f\u00fcr mobile Ger\u00e4te verkauft. Es gibt auch die M\u00f6glichkeit, Sonderanfertigungen mit Bildern, die von Kunden hochgeladen wurden, herstellen zu lassen.<\/p>\n

Der Datenschutzvorfall<\/h2>\n

Die Kollegen von Bleeping Computer haben hier den Fall<\/a> der Datenschutzverletzung aufbereitet. In einem Beitrag f\u00fcr Medium gibt ein Sicherheitsforscher namens Lynx<\/a> an, dass er im Januar 2020 vollen Zugang zur Slickwraps-Website erhalten konnte. Dazu nutze er eine Schwachstelle in einem Upload-Skript aus, das f\u00fcr Anpassungen an Smartphone-Cases durch die Nutzer verwendet wurde. <\/p>\n

Der Beitrag ist inzwischen auf privat gesetzt worden und nicht mehr einsehbar. Es findet sich eine Information, dass der Post die Regeln von Medium verletzt habe und analysiert werde. Die Offenlegung im Medium-Beitrag erfolgte, nachdem der Sicherheitsforscher keine Antwort auf E-Mails an den Anbieter erhalten hatte. <\/p>\n

\u00dcber die Schwachstelle will Lynx Zugriff auf die Lebensl\u00e4ufe der Mitarbeiter, 9 GB an pers\u00f6nlichen Kundenfotos, das ZenDesk-Ticketing-System, die API-Zugangsdaten sowie auf die pers\u00f6nlichen Kundendaten mit gehashten Passw\u00f6rtern, Adressen, E-Mail-Adressen, Telefonnummern und Transaktionen erhalten haben.<\/p>\n

Nachdem Lynx versucht hatte, diese Schwachstelle an Slickwraps zu melden, sei er mehrfach blockiert worden, so der Sicherheitsforscher. Er erkl\u00e4rte, dass es ihm nicht um die Bug-Bounty-Pr\u00e4mie gehe, sondern dass Slickwraps die Datenschutzverletzung offenlegen sollte.<\/p>\n

Jemand hackt und verschickt Mails<\/h2>\n

Lynx informierte Bleeping Computer, dass ein weiterer nicht autorisierter Benutzer die Schwachstelle nach Ver\u00f6ffentlichung des Medium-Beitrags ausnutzte, um eine E-Mail an 377.428 Kunden zu schicken, die das ZenDesk-Helpdesk-System von Slickwraps nutzen.<\/p>\n

\n

Well that's a big old yikes from @SlickWraps<\/a> pic.twitter.com\/28SOEMIBZ9<\/a><\/p>\n

\u2014 Toneman (@Toneman) February 21, 2020<\/a><\/p><\/blockquote>\n