![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Heute k\u00f6nnen wir das T\u00fcrchen mit der Nummer 18 im Sicherheits-Adventskalender \u00f6ffnen. Dahinter verbirgt sich ein veritables Datenleck. Der Datenschutzvorfall betrifft den Hersteller Sennheiser (Audio-Technik). Dieser hat ein altes Cloud-Konto ungesch\u00fctzt im Internet belassen, so dass Dritte auf Kundendaten zugreifen konnten.<\/p>\n
<\/p>\n
Sennheiser wurde 1945 von Dr. Fritz Sennheiser gegr\u00fcndet. Bis heute ist es ein privates, familiengef\u00fchrtes Unternehmen mit Sitz in der Wedemark. Das Unternehmen stellt hochwertige Audioger\u00e4te f\u00fcr den privaten und gesch\u00e4ftlichen Gebrauch her, darunter Mikrofone, Kopfh\u00f6rer, Aufnahmeger\u00e4te und Headsets f\u00fcr die Luftfahrt. Sennheiser ist weltweit in \u00fcber 50 L\u00e4ndern vertreten, besch\u00e4ftigt rund 2.800 Mitarbeiter und erwirtschaftete 2019 einen Jahresumsatz von 756,7 Millionen Euro.<\/p>\n
Das Sicherheitsteam von vpn-Mentor, welches das Internet nach offenen Datenbanken durchforstet, stie\u00df k\u00fcrzlich auf eine alte Cloud-Instanz, \u00fcbr die Sennheiser versehentlich Konto mit Kundendaten offengelegt hat. Sennheiser betrieb einen Amazon Web Services (AWS) S3-Bucket, in dem Daten verschiedener \u00f6ffentlicher Aktivit\u00e4ten gesammelt wurden. Insgesamt handelte es sich um 55 Gigabyte an Daten.<\/p>\n
Sennheiser hat es vers\u00e4umt, irgendwelche Sicherheitsma\u00dfnahmen f\u00fcr seinen S3-Bucket zu implementieren, so dass der Inhalt v\u00f6llig ungesch\u00fctzt und f\u00fcr jeden mit einem Webbrowser und technischen Kenntnissen leicht zug\u00e4nglich ist. Obwohl das fragliche Konto Daten von 2015 bis 2018 enthielt und seit 2018 inaktiv zu sein scheint, waren mehr als 28.000 Sennheiser-Kunden betroffen. Dieser Datenschutzvorfall betraf sensible private Daten wie:<\/p>\n
Die am 26. Oktober 2021 entdeckten Daten waren zwar alt, sind aber immer noch wertvoll f\u00fcr Kriminelle und Hacker. F\u00fcr Sennheiser stellt das Ganze einen DSGVO-relevanten Vorfall dar. Ein massives Vers\u00e4umnis eines gro\u00dfen, multinationalen und bekannten Unternehmens.<\/p>\n
Das Sicherheitsteam von vpnMentor konnte Sennheiser schnell als Eigent\u00fcmer der Daten im ungesch\u00fctzten S3-Bucket identifizieren. Denn in den Daten fanden sich Dateien mit dem Namen des Unternehmens und Sennheiser-Mitarbeiter, die in der Infrastruktur des Buckets aufgef\u00fchrt waren. Die Sicherheitsforscher benachrichtigten Sennheiser \u00fcber die Datenschutzverletzung. Sennheiser antwortete uns einige Tage sp\u00e4ter und bat um Einzelheiten. Nachdem die URL des ungesicherten Servers und weitere Einzelheiten an Sennheiser \u00fcbermittelt wurde, wies der AWS-Server einige Stunden sp\u00e4ter einen Zugriffsschutz auf. Sennheiser meldete sich allerdings nicht zur\u00fcck. Details des Vorfalls lassen sich hier<\/a> nachlesen.<\/p>\n Artikel des Security-Adventskalenders Heute k\u00f6nnen wir das T\u00fcrchen mit der Nummer 18 im Sicherheits-Adventskalender \u00f6ffnen. Dahinter verbirgt sich ein veritables Datenleck. Der Datenschutzvorfall betrifft den Hersteller Sennheiser (Audio-Technik). Dieser hat ein altes Cloud-Konto ungesch\u00fctzt im Internet belassen, so dass Dritte auf Kundendaten zugreifen … Weiterlesen
\n<\/strong>1. Microsoft Defender Version 1.353.1874.0 meldet f\u00e4lschlich Trickbot\/Emotet<\/a>
\n2. Windows 10\/11: Falle beim \"trusted\" Apps-Installer; Emotet nutzt das<\/a>
\n3. Beispiele f\u00fcr Viren-Mails nach \u00dcbernahme eines Exchange-Servers<\/a>
\n4. Phishing-Angriffe von Staatshackern \u00fcber neue RTF-Template-Injection-Technik<\/a>
\n5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails<\/a>
\n6. Android App Barcode Scanner Lite mit Trojaner \u2013 \u00f6ffnet zuf\u00e4llige Webseiten<\/a>
\n7. Cyberangriff auf SPAR-Lebensmittelgesch\u00e4fte in Yorkshire\/England<\/a>
\n8. Excel XLL-Addins f\u00fcr Malware-Installation missbraucht<\/a>
\n9. Hellmann Logistics Opfer eines Cyberangriffs<\/a>
\n10. Cloud-Dienste \u00fcber USB-over-Ethernet-Schwachstellen angreifbar<\/a>
\n11. Malware in Android Apps am Beispiel von GriftHorse<\/a>
\n12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions<\/a>
\n13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen<\/a>
\n14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme<\/a>
\n15. Windows, TPM, MEM, und Intune: H\u00fcrden beim Motherboard-Wechsel<\/a>
\n16: H\u00e4ufige Login-Versuche an Routern (FRITZ!Box)<\/a>
\n17: Insides zu Irelands Public Healthcare Ransomware-Fall<\/a>
\n18: Sennheiser legt Kundendaten \u00fcber alte Cloud-Instanz offen<\/a>
\n19:\u00a0Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert<\/a>
\n20:\u00a0CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt<\/a>
\n21:\u00a0Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen<\/a>
\n22:\u00a0Tipps f\u00fcr mehr Schutz gegen Smishing-Attacken<\/a>
\n23:\u00a0BSI warnt: Erh\u00f6hte Bedrohung durch Ransomware-Angriffe zu Weihnachten<\/a>
\n24:\u00a0Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"