{"id":229715,"date":"2020-03-20T00:40:00","date_gmt":"2020-03-19T23:40:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=229715"},"modified":"2022-09-07T21:59:49","modified_gmt":"2022-09-07T19:59:49","slug":"datenlecks-der-woche-20-3-2020","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/03\/20\/datenlecks-der-woche-20-3-2020\/","title":{"rendered":"Datenlecks der Woche (20.3.2020)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>In den letzten Tagen wurden einige Datenlecks und Sicherheitsvorf\u00e4lle bekannt. Meist waren es ungesicherte Server in der Cloud, \u00fcber die Daten von Kunden abgreifbar waren.<\/p>\n<p><!--more--><\/p>\n<h2>Ungesicherter Server der Blisk-Browser-Entwickler<\/h2>\n<p><a href=\"https:\/\/blisk.io\/\" target=\"_blank\" rel=\"noopener noreferrer\">Blisk<\/a> ist ein auf Chromium basierender Browser f\u00fcr Web-Entwickler. In einer Entwicklerumgebung k\u00f6nnen Teams und Freiberufler Webanwendungen entwickeln und testen. Blisk gibt an, dass sein Browser von mehr als 40.000 Unternehmen verwendet wird. Darunter finden sich einige bekannte Namen wie HP, Xerox, NASA, Unicef, Deloitte, UEFA, Vice News und Pandora. In nachfolgendem Tweet weist Catalin Cimpanu auf ein Datenleck hin.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">NEW: Browser vendor leaks data via open server<a href=\"https:\/\/t.co\/Q2bbEHTAiC\">https:\/\/t.co\/Q2bbEHTAiC<\/a> <a href=\"https:\/\/t.co\/cJW19x3S0N\">pic.twitter.com\/cJW19x3S0N<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1238737126541283328?ref_src=twsrc%5Etfw\">March 14, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der estnische\u00a0 Browser-Entwickler Blisk hat im Dezember 2019 versehentlich einen Elasticsearch-Server ohne Passwort betrieben, der per Internet erreichbar war. Am 2. Dezember 2019 entdeckten Noam Rotem und Ran Locar, zwei Forscher von vpnMentor, den offenen Elasticsearch-Server des Unternehmens.<\/p>\n<p>Die vpnMentor-Forscher geben an, dass sie pers\u00f6nliche Daten von Tausenden von Webentwicklern gefunden h\u00e4tten, die Profile auf der Blisk-Webseite\/im Browser registriert hatten. Insgesamt fanden sie 3,4 GB an Daten\u00a0 mit 2,9 Millionen Datens\u00e4tzen auf dem offenen Server. Die Details lassen sich in <a href=\"https:\/\/www.vpnmentor.com\/blog\/report-blisk-leak\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> nachlesen.<\/p>\n<h2>MCA Wizard-App legt Finanzdaten offen<\/h2>\n<p>MCA Wizard ist eine von zwei amerikanischen Unternehmen Advantage Capital Funding und Argus Capital Funding entwickelte App f\u00fcr Android und iOS. Die App wurde 2018 bereitgestellt, ist aber aktuell wohl nicht mehr verf\u00fcgbar. Nach den Recherchen von vpnmentor scheint hinter den beiden Firmennamen die gleiche Firma aus New York, USA, zu stecken.<\/p>\n<p>Das K\u00fcrzel MCA\" steht f\u00fcr Merchant Cash Advance, eine Art Finanzinstrument, das zur Gew\u00e4hrung von Darlehen und Krediten an Kleinunternehmer verwendet wird. Diese Darlehen sind in der Regel kurzfristig &#8211; weniger als zwei Jahre &#8211; und mit hohen Zinsen ausgestattet. Einige Anbieter verlangen 10-15% Zinsen. MCAs sind umstritten, da Anbieter Schlupfl\u00f6cher in den Gesch\u00e4fts-, Finanz- und Bankgesetzen nutzen, um Vorschriften zu umgehen und ohne Aufsicht durch unabh\u00e4ngige Stellen zu handeln.<\/p>\n<p>Das Forschungsteam von vpnMentor unter der Leitung von Noam Rotem ist am 24. Dezember 2019 auf eine offene Datenbank gesto\u00dfen, die eine gro\u00dfe Menge sensibler Finanzdokumente enthielt. Die Datenbank enthielt \u00fcber 500.000 hochsensible und private Rechts- und Finanzdokumente, die wohl im Zusammenhang mit dem MCA Wizard standen.<\/p>\n<p>Der Zweck der Datenbank blieb unklar. Die URL enthielt MCA Wizard als Term, aber die meisten Dateien hatten nicht mit dem MCA Wizard zu tun. Obwohl die App inzwischen nicht mehr verf\u00fcgbar ist, wurden immer noch Daten zur Datenbank, die auf Amazons AWS gehostet wurde, hochgeladen. Kontakt mit den Firmen lie\u00df sich nicht aufnehmen, so das vpnmentor schlie\u00dflich am 7. Januar 2020 Amazon kontaktierte. Die Datenbank wurde am 9. Januar 2020 offline genommen. Details lassen sich in <a href=\"https:\/\/www.vpnmentor.com\/blog\/report-mca-wizard-leak\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem vpnmentor-Beitrag<\/a> nachlesen.<\/p>\n<h2>Daten von 200 Millionen US-B\u00fcrgern im Netz<\/h2>\n<p>Die in Litauen angesiedelten Sicherheitsforscher von CyberNews haben mich zudem per Mail \u00fcber einen neuen Fall eines Datenlecks informiert. Die Sicherheitsforscher sind am 3. M\u00e4rz 2020 im Internet auf eine offene Datenbank gesto\u00dfen. Die Datenbank war 800 Gigabyte gro\u00df und enthielt 200 Millionen Datens\u00e4tze von US-B\u00fcrgern.<\/p>\n<p>Die Datens\u00e4tze enthielten unter anderem die vollst\u00e4ndigen Namen und Titel der exponierten Personen sowie deren E-Mail-Adressen, Telefonnummern, Geburtsdaten, Kreditw\u00fcrdigkeit, detaillierte Hypotheken- und Steuerunterlagen und vieles mehr. Im Darknet w\u00e4ren diese Informationen sicherlich sehr viel Geld wert.<\/p>\n<p>Zudem gab es weitere Daten, die nicht in Zusammenhang mit den obigen Datens\u00e4tzen stehen. So fanden sich auch die Notrufprotokolle einer in den USA ans\u00e4ssigen Feuerwehr oder eine Liste mit einigen der 74 Fahrrad-Mietstationen, die aktuell zu Lyft geh\u00f6ren. Der Zweck dieser Datenbank und der Betreiber ist aktuell nicht bekannt \u2013 es wird vermutet, dass die Daten von einer Marketing-Firma oder einem Kredit-Anbieter gesammelt wurden.<\/p>\n<p>Die Datenbank wird auf einem Google-Cloud-Server in den USA gehostet. W\u00e4hrend der Untersuchung durch die Sicherheitsforscher wurden die Daten in der Datenbank pl\u00f6tzlich gel\u00f6scht. Die Datenbank ist zwar weiterhin online und zug\u00e4nglich, enth\u00e4lt laut den CyberNews-Forschern aktuell aber keine Daten mehr. Am 20. M\u00e4rz 2020 will CyberNews weitere Details ver\u00f6ffentlichen. <strong>Erg\u00e4nzung:<\/strong> Der CyberNews-Artikel l\u00e4sst sich nun <a href=\"https:\/\/web.archive.org\/web\/20220823111135\/https:\/\/cybernews.com\/security\/report-unidentified-database-exposes-200-million-americans\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier abrufen<\/a>.<\/p>\n<h2>Webseite f\u00fcr Gitarren-Tutorials mit Magecart verseucht<\/h2>\n<p>Magecart ist eine Malware-Familie, die drauf abzielt, Kreditkarteninformationen f\u00fcr Bezahlvorg\u00e4nge in Online-Shops und Webseiten abzugreifen. TrueFire ist eine popul\u00e4re Webseite f\u00fcr Gitarrenunterricht mit \u00fcber 1 Million Nutzern. Dort k\u00f6nnen Nutzer online bezahlen, um Zugang zu einer riesigen Bibliothek mit \u00fcber 900 Kursen und 40.000 Video-Lektionen zu erhalten.<\/p>\n<p>The Hacker News <a href=\"https:\/\/www.teltarif.de\/ios-12-update-sicherheit-facetime\/news\/75566.html\" target=\"_blank\" rel=\"noopener noreferrer\">berichtet hier<\/a>, dass die Webseite TrueFire durch eine Magecart-\u00e4hnliche Malware befallen war. Die Betreiber haben aktuell diesen Vorfall wohl noch nicht best\u00e4tigt \u2013 aktuell kann ich die Seite nicht korrekt abrufen. The Hacker News ist durch Betroffene, die den Hack \u00f6ffentlich machten, nachdem sie vom Betreiber per Mail informiert wurden, auf das Thema gesto\u00dfen. Weitere Details sind <a href=\"https:\/\/www.teltarif.de\/ios-12-update-sicherheit-facetime\/news\/75566.html\" target=\"_blank\" rel=\"noopener noreferrer\">im Artikel<\/a> von The Hacker News zu finden.<\/p>\n<h2>Doxzoo-Datenleck betrifft 100.000 Nutzer<\/h2>\n<p>Doxzoo ist ein Unternehmen, das seinen Sitz in Gro\u00dfbritannien hat, und seit 2014 Kunden weltweit mit Druckdiensten bedient.\u00a0Auf ihrer Website weist Doxzoo eine ISO-Akkreditierung unter anderem f\u00fcr die Sicherheit aus und wirbt damit, dass die Dokumente ihrer Kunden in \"sicheren H\u00e4nden\" seien.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"Doxzoo\" src=\"https:\/\/i.imgur.com\/CP5vPr1.jpg\" alt=\"Doxzoo\" width=\"640\" height=\"472\" \/><\/p>\n<p>Ein Sicherheitsteam von vpnMentor-Forschungsteam unter der Leitung von Noam Rotem und Ran Locar hat auf einem Amazon-Server einen offenen S3-Bucket von <a href=\"https:\/\/www.vpnmentor.com\/blog\/report-doxzoo-leak\/\" target=\"_blank\" rel=\"noopener noreferrer\">Doxzoo gefunden<\/a>. Dieser enth\u00e4lt 270.000 Datens\u00e4tze und umfasst mehr als 343 Gigabyte Gr\u00f6\u00dfe. Von diesem Datenleck sind potenziell \u00fcber 100.000 Benutzer betroffen, was nicht nur Auswirkungen auf Urheberrechtsverletzungen hat, sondern auch auf die Exposition amerikanischer und britischer Milit\u00e4rdaten.<\/p>\n<p>Doxzoo besitzt eine Handvoll hochkar\u00e4tiger Kunden, f\u00fcr die sie eine Vielzahl von Druckauftr\u00e4gen ausf\u00fchren. Darunter sind auch komplette Skripte und Drehb\u00fccher, B\u00fccher in voller L\u00e4nge, begehrte bezahlte Wellness-Pl\u00e4ne und interne Milit\u00e4rhandb\u00fccher. Der Anbieter erh\u00e4lt auch Anfragen von Privatpersonen, die Familien-Fotoalben (komplett mit Bildern der Kinder), Junggesellinnen-Abschieds-Souvenirs mit potenziell kompromittierenden Fotos der zuk\u00fcnftigen Braut und vieles mehr bestellen.<\/p>\n<p>Doxzoo scheint regelm\u00e4\u00dfig vollst\u00e4ndige Scans von Foto-IDs (wie z.B. P\u00e4ssen) zu verlangen, um Auftr\u00e4ge auszuf\u00fchren. In der offenen Datenbank fand sich dann auch einiges brisante Material.<\/p>\n<ul>\n<li>Namen, Adressen, E-Mail-Adressen der Auftraggeber samt Scans von Ausweisdokumenten.<\/li>\n<li>Auftragsdetails, Rechnungen, Zahlungsmethoden etc.<\/li>\n<li>Druckinhalte wie B\u00fccher, Drehb\u00fccher, Musikkompositionen, Schulungskurse von Universit\u00e4ten,<\/li>\n<li>Pr\u00fcfungsunterlagen, Di\u00e4t- und Sportkursunterlagen<\/li>\n<li>Geb\u00e4udepl\u00e4ne mit eingezeichneten Sicherheitseinrichtungen<\/li>\n<li>Klassifizierte Milit\u00e4rdokumente<\/li>\n<\/ul>\n<p>Betroffen sind unter anderem Kunden aus den USA, Gro\u00dfbritannien, Sri Lanka, Nigeria und Indien (m\u00f6glicherweise sind weitere L\u00e4nder betroffen, es wurden nicht alle Dokumente gesichtet).<\/p>\n<p>Dieses Datenleck legt nicht nur hochsensibles Material wie Milit\u00e4rdokumente, sondern auch private Informationen wie die Ausweiskopien offen. Das bietet die Gefahr eines Identit\u00e4tsdiebstahls. Zudem handelt es sich um einen Versto\u00df gegen die Datenschutzgrundverordnung, der das Unternehmen teuer zu stehen kommen d\u00fcrfte.<\/p>\n<p>Doxzoo h\u00e4tte dieses Datenleck leicht vermeiden k\u00f6nnen, wenn sie einige grundlegende Sicherheitsma\u00dfnahmen zum Schutz des S3-Bucket getroffen h\u00e4tten. Diese umfassen die Absicherung der Server, implementieren angemessener Zugriffsregeln, und Server, die keine Authentifizierung f\u00fcr Zugriffe auf Dateien erfordern, d\u00fcrfen niemals per Internet erreichbar sein.<\/p>\n<p>Das offene S3-Bucket wurde am am 22. Januar 2020 gefunden und die Firma am 26.1. informiert. Am 5. Februar 2020 musste Amazon kontaktiert werden, worauf die Erreichbarkeit des exponierten Servers aus dem Internet am 11. Februar 2020 beendet wurde.<\/p>\n<h2>Kanadischer Provider Rogers mit Datenleck<\/h2>\n<p>Der kanadische Internetprovider Rogers Communications hat wohl damit begonnen, seinen Kunden \u00fcber ein Datenleck zu informieren.<\/p>\n<blockquote><p>\"On February 26, 2020, Rogers became aware that one of our external service providers had inadvertently made information available online that provided access to a database managed by that service provider. We immediately made sure the information was removed and began an investigation to see how many customers might have been impacted. No credit card, no banking, or no password information was exposed. We are directly contacting any customer whose information was in the database. We sincerely apologize for this incident and regret any inconvenience this may cause.\"<\/p><\/blockquote>\n<p>Durch einen Dienstleister wurde wohl der Zugriff auf die Kundendatenbank des Providers f\u00fcr Unbefugte m\u00f6glich. Es konnten pers\u00f6nliche Daten der Kunden entwendet worden sein. Bleeping Computer hat einige Details in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/rogers-data-breach-exposed-customer-info-in-unsecured-database\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> zusammen getragen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>In den letzten Tagen wurden einige Datenlecks und Sicherheitsvorf\u00e4lle bekannt. Meist waren es ungesicherte Server in der Cloud, \u00fcber die Daten von Kunden abgreifbar waren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5535,4328],"class_list":["post-229715","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenleck","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229715","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=229715"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/229715\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=229715"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=229715"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=229715"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}