{"id":237304,"date":"2020-11-06T06:52:33","date_gmt":"2020-11-06T05:52:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=237304"},"modified":"2020-11-06T07:18:03","modified_gmt":"2020-11-06T06:18:03","slug":"deloitte-seite-test-your-hacker-iq-legt-benutzerdaten-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/11\/06\/deloitte-seite-test-your-hacker-iq-legt-benutzerdaten-offen\/","title":{"rendered":"'Deloitte'-Seite 'Test your Hacker IQ' legt Benutzerdaten offen"},"content":{"rendered":"

[English<\/a>]Das ist wohl ein wenige schief gelaufen. 2015 wurde eine (Deloitte zugeschriebene) Webseite 'Test your Hacker IQ' online gestellt. Dort konnte man ein Quiz zu seinen Kenntnissen \u00fcber Hackertechniken durchf\u00fchren. Die Seite blieb online, und ein Sicherheitsforscher war jetzt in der Lage, eine YAML-Konfigurationsdatei abzurufen, die die Zugangsdaten f\u00fcr den Zugriff auf die benutzte mySQL-Datenbank im Klartext enthielt. Kleine Freitags-Geschichte \u00fcber eine Marketing-Aktion, die den Leuten f\u00fcnf Jahre sp\u00e4ter auf die F\u00fc\u00dfe gefallen ist.<\/p>\n

<\/p>\n

\"\"Es gibt den Spruch 'D\u00fcmmer als die Polizei erlaubt', der mir durch den Kopf ging (und nat\u00fcrlich das 'h\u00e4tte dir auch passieren k\u00f6nnen', niemand ist ohne Fehler). Ich bin die Tage auf Twitter<\/a> auf diesen lustigen Sachverhalt aufmerksam geworden, den The Register auf dieser Seite<\/a> \u00f6ffentlich machte. Dachte, das m\u00f6chte ich euch nicht vorenthalten.<\/p>\n

\"Deloitte<\/a>
\n(Deloitte 'Test your Hacker IQ' Datenleck)<\/p>\n

Wer ist Deloitte?<\/h2>\n

Deloitte<\/a> ist ein internationales Unternehmen der Wirtschaftsbranche und erbringt Dienstleistungen in den Bereichen Wirtschaftspr\u00fcfung, Risikoberatung (Risk Advisory), Steuerberatung, Finanzberatung (Financial Advisory) und Consulting f\u00fcr Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland<\/a> von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 L\u00e4ndern und rund 312.000 Mitarbeiter erzielte Deloitte im Gesch\u00e4ftsjahr 2018\/2019 einen Umsatz von 46,2 Milliarden US-Dollar.<\/p>\n

Wenn Marketing schief l\u00e4uft<\/h2>\n

Irgend jemand ist dann bei Deloitte auf die Idee gekommen, eine Webseite 'Test your Hacker IQ' aufsetzen und online stellen zu lassen. Auf der Webseite konnten Nutzer ein Quiz durchf\u00fchren und ihr Wissen um Hacker-Techniken pr\u00fcfen. Die Website bat Besucher einen Benutzernamen eingeben. Anschlie\u00dfend stellt sie eine Reihe von Multiple-Choice-Fragen zu Techniken, die von Hackern eingesetzt werden, um an Unternehmensinformationen zu gelangen.<\/p>\n

Was etwas st\u00f6rte: Die Seite wurde unter der unsicheren HTTP-URL *http:\/\/deloittehackeriq.com\/ betrieben – ist irgendwie suboptimal, wenn man irgend etwas in Sachen Sicherheitstest macht. Aber egal. Offenbar umfasste die Seite auch keine Fragen in Richtung 'wie kommen Hacker an Zugangsdaten von Webseiten'. Und in dieser Tradition konnte der Sicherheitsforscher Tillie Kottmann eine YAML-Konfigurationsdatei abzurufen, die die Zugangsdaten f\u00fcr den Zugriff auf die benutzte mySQL-Datenbank im Klartext enthielt.<\/p>\n

mySQL-Datenbank-Zugang im Klartext<\/h2>\n

Der in der Schweiz ans\u00e4ssige\u00a0 IT-Berater und Entwickler, Tillie Kottmann<\/a>, ist kein Unbekannter, hatte im Mai 2020 doch das Git-Repository-Leak bei Mercedes offen gelegt (siehe mein Blog-Beitrag Sicherheitsvorfall: Mercedes OLU-Software abgreifbar<\/a>). Kottmann hatte zudem ein Leak bei Intel mit interner Dokumentation \u00f6ffentlich gemacht (siehe mein Blog-Beitrag Daten von LG, Xeros und Intel geleaked, Canon von Ransomware befallen<\/a>). Kottmann scheint ein heller Kopf zu sein, denn sein Name taucht hier im Blog auch im Zusammenhang mit einem R\u00e4tsel der Google I\/O 2019<\/a> auf, was er ziemlich schnell gel\u00f6st hatte.<\/p>\n

Jedenfalls stie\u00df er durch Zufall auf die 'Test your Hacker IQ'-Seite und entdeckte dann am Mittwoch die YAML-Konfigurationsdatei, die er auf der Webseite abrufen konnte. Wie vermutet enthielt , diese Datei die Zugangsdaten f\u00fcr den Zugriff auf die benutzte mySQL-Datenbank im Klartext enthielt. Kottmann fragte dann auf Twitter bei Deloitte nach, wie sein Hacker-IQ wohl zu bewerten sei.<\/p>\n

hey @Deloitte, what exactly is my hacker IQ now? pic.twitter.com\/Bqv25kdDsU<\/a><\/p>\n

\u2014 Tillie Kottmann (@antiproprietary) November 4, 2020<\/a><\/p><\/blockquote>\n

Die Jungs auf Twitter sind leider etwas verstrahlt, kann man nicht anders sagen, denn der obige Tweet ist inzwischen gel\u00f6scht, da er gegen die Twitter-Regeln versto\u00dfen habe. Das Twitter-Konto @deletescape ist von Twitter gesperrt worden.<\/p>\n

The Register schreibt in Bezug auf Kottmann, dass die Domain deloittehackeriq.com<\/em> 2015 von Tank Design, einem in Massachusetts ans\u00e4ssigen Unternehmen f\u00fcr digitales Marketing, registriert wurde. Die Website enth\u00e4lt einen Urheberrechtshinweis Deloitte Development LLC mit dem Datum von 2015. Kottmann gab gegen\u00fcber The Register an, dass das letzte Commit zum .git-Repo im Jahr 2017 erfolgte. Es sei auch nicht klar, wie aktiv die Website genutzt wird.<\/p>\n

Die Website wurde erstmals 2018 von der Wayback Machine des Internetarchivs erfasst. Gehostet wurde die Quiz-Seite auf einem Ubuntu Linux 14.04-System, wobei diese Linux-Version seit April 2019 keine Sicherheitspatches mehr erh\u00e4lt und potenziell f\u00fcr 11 bekannte Fehler anf\u00e4llig ist. Inzwischen wurde die Webseite abgeschaltet.<\/p>\n

Deloitte: Wir haben nichts damit zu tun<\/h2>\n

In einer Nachricht an The Register, die nach dem Erscheinen des Artikels zuging, distanzierte sich ein Sprecher von Deloitte von der jetzt entfernten Hacking-Contest-Website:<\/p>\n

Uns ist ein Vorfall bekannt, bei dem es um den unbefugten Zugriff auf ein interaktives Spiel\/Website ging, das f\u00fcr eine Cybersicherheitsveranstaltung im Jahr 2015 entwickelt wurde. Die Plattform wird von einem Drittanbieter gehostet und unterscheidet sich von jedem anderen Deloitte-System; es gibt keine Auswirkungen auf andere Deloitte-Systeme.<\/p>\n

Die Website wird seit 2015 nicht mehr aktiv genutzt und ist jetzt abgeschaltet worden. Wir bleiben wachsam bei der Beurteilung dieses Vorfalls und anderer potentieller Cyber-Bedrohungen. Wir sind fest entschlossen, eine Cyber-Abwehr aufrechtzuerhalten, die sich an den besten Praktiken orientiert, stark in den Schutz vertraulicher Informationen zu investieren und unsere Cyber-Sicherheit st\u00e4ndig zu \u00fcberpr\u00fcfen und zu verbessern.<\/p><\/blockquote>\n

Kraftvolles Statement, auch bei Deloitte gilt also 'Holzauge sei wachsam' – finde ich ja jetzt spontan gut, Deloitte, die tun was. Oder wie seht ihr diese ganze Geschichte? Ja ich wei\u00df, McMurphy<\/a> hat mal wieder zugeschlagen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das ist wohl ein wenige schief gelaufen. 2015 wurde eine (Deloitte zugeschriebene) Webseite 'Test your Hacker IQ' online gestellt. Dort konnte man ein Quiz zu seinen Kenntnissen \u00fcber Hackertechniken durchf\u00fchren. Die Seite blieb online, und ein Sicherheitsforscher war jetzt in … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-237304","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237304","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=237304"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/237304\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=237304"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=237304"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=237304"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}