![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
[English]Der Anbieter SAVE.TV ist nach einem Hack seit einigen Tagen wieder mit seinem Dienst online. Das Gleiche gilt f\u00fcr den Dienst UseNeXT.de. Ich hatte das Thema bei mir auf Wiedervorlage, um eventuell Informationen nachzutragen oder offen zu legen.<\/p>\n
<\/p>\n
Ende April 2020 wurde der Dienst SAVE.TV abgeschaltet. SAVE.TV ist ein Dienst, der als Online-Recorder f\u00fcr TV-Sendungen fungiert und diese in der Cloud speichert. Zum gleichen Zeitpunkt passierte der Shutdown beim Dienst UseNeXT.de, der den Zugriff auf das usenet erm\u00f6glicht. Auf Grund von Lesermails war schnell klar, dass es ein Hackerangriff war, der die Betreiber zum Shutdown dieser Dienste zwang.<\/p>\n
Das wurde dann auch einige Zeit sp\u00e4ter auf den Webseiten der Dienste kommuniziert. Wer sich f\u00fcr die Details interessiert, findet das in meinem Blog-Beitrag Achtung: Online-Videorecorder-Dienst SAVE.TV [und Anbieter UseNeXT.de] gehackt<\/a> sowie in meinem heise-Beitrag hier<\/a> beleuchtet.<\/p>\n Vor einigen Tagen kam mir dann die Information unter die Augen (Quelle habe ich vergessen), dass der Dienst des Anbieters save.tv<\/a> wieder verf\u00fcgbar sei. Ich habe dann nachgeschaut, sowohl die URL save.tv<\/a> als auch usenext.de<\/a> sind wieder per Internet erreichbar.<\/p>\n Nach dem Hack empfahlen beide Anbieter den Nutzern, ihre Kennw\u00f6rter f\u00fcr die Konten zur\u00fcckzusetzen. Save.tv bietet dazu folgendes Formular an, in dem der Benutzername oder die Kundennummer anzugeben sind.<\/p>\n Der Grund: Es konnte nicht ausgeschlossen werden, dass Nutzer-, Anmelde- und Zahlungsdaten abgeflossen waren. Auf den erneut verf\u00fcgbaren Seiten beider Anbieter findet sich daher, neben dem Eintrag 'Wichtige Informationen zu Ihrem xxxx Account', auch eine Schaltfl\u00e4che zum Zur\u00fccksetzen des Passworts, welches dann das obige Formular anzeigt.<\/p>\n Erg\u00e4nzung: Beachtet die Kommentare weiter unten, dass bei save.tv die Funktionalit\u00e4t und der Betrieb wohl arg eingeschr\u00e4nkt zu sein scheinen.<\/p><\/blockquote>\n Durch die Berichterstattung bei mir im Blog sowie bei heise war mir bekannt, dass der eigentliche Hack beim Dienstleister Omniga passierte. Ich hatte im Blog-Beitrag Achtung: Online-Videorecorder-Dienst SAVE.TV [und Anbieter UseNeXT.de] gehackt<\/a> auch berichtet, dass wohl ein Zugriff \u00fcber einen VPN-Zugang das Einfalltor gewesen sei.<\/p>\n Zudem wurde mir von Omniga berichtet, dass unklar sei, ob \u00fcberhaupt Daten abgeflossen seien. Die Datenschutzaufsicht ist nach Auskunft des Anbieters zeitnah informiert worden und ein Forensik-Team hatte die Ermittlungen aufgenommen. Vermutungen von Lesern, dass Passw\u00f6rter von save.tv im Klartext gespeichert wurden, hat Omniga klar verneint.<\/p>\n Allerdings hatte ich bei mir den Vorgang auf Wiedervorlage gelegt. Die Tage sind mir dann Insight-Informationen von Sicherheitsforschern zugespielt worden. Mittlerweise wei\u00df ich, dass Dateien durch Ragnar Locker<\/a> verschl\u00fcsselt wurden. Dort kommt die Ransomware \u00fcber eine Virtualbox VM, um einer Entdeckung zu entgehen. Die Ransomware-Gruppe hat zudem Daten abgezogen und versuchte das Unternehmen mit der Offenlegung zu erpressen. Da keine Zahlung erfolgte, wurden Daten ver\u00f6ffentlicht.<\/p>\n Auf konkrete Nachfrage bez\u00fcglich dieses Sachverhalts teilte eine Omniga-Sprecherin des Unternehmens unter Bezug auf einen nunmehr vorliegenden Forensik-Bericht mit, 'dass davon ausgegangen werden kann, dass sich die betroffenen Datenarten auf Emails, Vertragsunterlagen und Dokumente in Verwaltungsverzeichnissen [der Omniga] beschr\u00e4nken, jedoch keine Datenbankexporte beinhalten'. Das Unternehmen gibt an, dass 'Nach bis heute andauerndem Kenntnisstand keine sensiblen Kundendaten entwendet wurden, weder aus den kundenspezifischen Verzeichnissen noch aus den von den einzelnen Shops verwendeten Technologien.'<\/p>\n Das hei\u00dft f\u00fcr mich im Klartext, dass keine Benutzerdaten von Endkunden der Anbieter Save.TV, UseNeXT.de etc. abgegriffen wurden. Mit diesen Endkunden steht Omniga meines Wissens nach auch in keinem Vertragsverh\u00e4ltnis.<\/p><\/blockquote>\n Die obigen Aussagen kann ich mangels ausreichender Ressourcen nicht umfassend verifizieren. Ein Verzeichnis-Dump deckt sich mit den obigen Angaben der Forensiker. Informationen, die ich \u00fcber Sicherheitsforscher einsehen konnte, scheinen zu belegen, dass Daten von Omniga-Kunden – also Vertragspartner dieses Dienstleisters – (samt Bankdaten) abgeflossen sind. Zudem wurde der Inhalt eines KeePass-Speichers samt dessen sehr einfach gestricktem Master-Passwort als Screenshot ver\u00f6ffentlicht. Die Angreifer hatten also Zugriff auf alle dort gespeicherten Konten, samt Kennw\u00f6rtern. Und die Angreifer scheinen sich nach von mir einsehbaren Screenshots auch im Active Directory umgesehen zu haben. Allerdings gehe ich davon aus, dass l\u00e4ngst nicht alle Daten ver\u00f6ffentlicht wurden. Der Flurschaden erscheint mir schon substantiell \u2013 Omniga war als Unternehmen aber so klug, nicht zu zahlen, auch auf die Gefahr hin, dass Daten ver\u00f6ffentlicht werden. Denn das Risiko, dass trotz Zahlung Daten weitergereicht oder pl\u00f6tzlich 'Nachforderungen' kommen, besteht, wie F\u00e4lle in der n\u00e4heren Vergangenheit zeigen.<\/p>\n \u00c4hnliche Artikel:<\/strong> [English]Der Anbieter SAVE.TV ist nach einem Hack seit einigen Tagen wieder mit seinem Dienst online. Das Gleiche gilt f\u00fcr den Dienst UseNeXT.de. Ich hatte das Thema bei mir auf Wiedervorlage, um eventuell Informationen nachzutragen oder offen zu legen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2564,4328],"class_list":["post-232083","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232083","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232083"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232083\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232083"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232083"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232083"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"safe.tv](\"https:\/\/heise.cloudimg.io\/width\/610\/q85.png-lossy-85.webp-lossy-85.foil1\/_www-heise-de_\/imgs\/18\/2\/8\/8\/6\/3\/6\/3\/Screenshot-_206_-3798dc9d7a68b52e.jpeg\" "\\"safe.tv")
<\/a>
\n(Quelle: heise, Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\nSave.tv\/UseNeXT.de wieder zur\u00fcck<\/h2>\n
<\/p>\n<\/p>\nHintergrundinformationen zum Hack<\/h2>\n
Ragnar Locker im Einsatz<\/h3>\n
Nur Omniga-Kunden betroffen<\/h3>\n
Trotzdem gen\u00fcgend Flurschaden<\/h3>\n
\nAchtung: Online-Videorecorder-Dienst SAVE.TV [und Anbieter UseNeXT.de] gehackt<\/a>
\n\u00d6sterreich: IT der Stadt Weiz mit Ransomware infiziert?<\/a>
\nAchtung Mal-\/Ransomware: Infiziertes Cookie-Consent-Logo<\/a>
\nRevil Ransomware-Hacker ver\u00f6ffentlichen erste Trump-Files<\/a>
\nRansomware-Angriff auf Magellan Health<\/a>
\nClop Ransomware bei Technische Werke Ludwigshafen<\/a>
\nNeues zum Ransomware-Angriff auf Ludwigshafener Versorger<\/a>
\nSicherheitsvorfall bei Webseite der Santander-Bank in Belgien<\/a>
\nRansomware bei Diebold Nixdorf<\/a>
\nAnatomie eines (Maze-)Ransomware-Angriffs<\/a>
\nSicherheitsvorfall: Mercedes OLU-Software abgreifbar<\/a>
\nFresenius vermutlich Opfer eines Snake-Ransomware-Angriffs<\/a>
\nRuhr-Universit\u00e4t Bochum: Hack war ein Ransomware-Befall<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"