{"id":265957,"date":"2022-06-02T12:07:18","date_gmt":"2022-06-02T10:07:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265957"},"modified":"2023-08-16T17:13:31","modified_gmt":"2023-08-16T15:13:31","slug":"sicherheitslcken-datenschutzvorflle-fluggesellschaft-jobbrsen-personaldienstleister-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/02\/sicherheitslcken-datenschutzvorflle-fluggesellschaft-jobbrsen-personaldienstleister-und-mehr\/","title":{"rendered":"Sicherheitslücken & Datenschutzvorfälle: Fluggesellschaft, Jobbörsen, Personaldienstleister und mehr"},"content":{"rendered":"

\"SicherheitMomentan rappelt es mal wieder gewaltig in Sachen Datenlecks bei Firmen. Eine t\u00fcrkische Billigfluglinie hat seine AWS-Server offen stehen gelassen, so dass 6,5 Terabyte an Daten abziehbar waren. Bei der perbit Software GmbH gab es einen IT-Sicherheitsvorfall und jetzt werden Daten von Firmen, die Kunden im Bereich Personaldienstleistungen sind, \u00f6ffentlich. Die AMS-Group k\u00f6nnte Opfer eines Ransomware-Angriffs geworden sein – denn es werden Daten im Darknet geleaked. In Italien waren Daten einer Jobb\u00f6rse \u00f6ffentlich einsehbar – und eine Studie fand heraus, dass 3,6 Millionen SQL-Server direkt per Internet erreichbar sind. Zudem sind 47.000 WordPress Plugins laut einer Untersuchung mit Malware verseucht und haben 26.000 WordPress-Seiten infiziert. Cisco Talos hat acht Schwachstellen (zwei kritisch) in einer Open Automation Software gefunden. Mal wieder ein \u00dcberblick in Sicherheits- und Datenschutz-Abgr\u00fcnde.<\/p>\n

<\/p>\n

IT-Sicherheitsvorfall bei der perbit Software GmbH<\/h2>\n

\"\"Es war eine kurze pers\u00f6nliche Nachricht, die mich die Nacht von einem Betroffenen auf Facebook erreicht hat. Ich wurde auf einen IT-Sicherheitsvorfall bei der perbit Software GmbH hingewiesen – war an mir vorbei gegangen.<\/p>\n

\"IT-Sicherheitsvorfall<\/p>\n

Die perbit Software GmbH weist sich als \"dein Partner f\u00fcr HR von morgen\" aus und bietet (laut eigener Aussage) seit fast 40 Jahren praxisgerechte IT-Unterst\u00fctzung f\u00fcr effiziente, wertsch\u00f6pfungsorientierte Personalarbeit in einem T\u00dcV-zertifizierten Rechenzentrum in Berlin. perbit speichert, so die Aussage, unter Ber\u00fccksichtigung der geltenden Datenschutzbestimmungen auf seinen Servern unter anderem Daten von Personen, die sich bei den Kunden beworben haben, sowie Daten von Mitarbeitenden von perbit-Kunden. Von der perbit Software GmbH gab es zum 18. Mai 2022 diese Pressemitteilung, in dem ein Cyber-Angriff mit Ransomware eingestanden wurde:<\/p>\n

\n

Am 7. April 2022 ereignete sich ein Cyber-Angriff auf die von perbit betriebenen externen Systeme. Das Ausma\u00df des Angriffes wird derzeit von professionellen IT-Forensikern sowie den Strafverfolgungsbeh\u00f6rden untersucht. perbit h\u00e4lt direkten Kontakt zu potenziell betroffenen Kunden und informiert sie \u00fcber den aktuellen Stand der Ermittlungen. perbit nimmt diesen Vorfall und die Sicherheit der betroffenen Daten sehr ernst und hat zudem selbst die zust\u00e4ndige Datenschutzaufsichtsbeh\u00f6rde von dem Vorfall fr\u00fchzeitig und vorsorglich in Kenntnis gesetzt und die Ermittlungsbeh\u00f6rden informiert sowie Strafanzeige gestellt. Auf die Erpressungsforderungen wurde selbstverst\u00e4ndlich nicht eingegangen.<\/p>\n<\/blockquote>\n

In der Pressemitteilung best\u00e4tigt die perbit Software GmbH, dass auch Daten von BewerberInnen und MitarbeiterInnen der eigenen Kunden geleakt wurden. Die Angreifer haben, laut Informationen des Unternehmens, zwischenzeitlich damit begonnen, betr\u00fcgerische E-Mails (Phishing-Mails) an die in den perbit Datenbanken hinterlegten E-Mail-Adressen zu versenden. Wer eine solche E-Mail bekommen hat, sollte darauf nicht reagieren, keine Links oder Anh\u00e4nge \u00f6ffnen und die E-Mail unverz\u00fcglich l\u00f6schen. Bitte haben Sie Verst\u00e4ndnis, dass wir aufgrund der Vielzahl der Nachfragen, eine Priorisierung der Beantwortung vornehmen m\u00fcssen und es somit zu Verz\u00f6gerungen bei der Beantwortung kommen kann. <\/p>\n

Inzwischen ist klar, dass Mitarbeiter hunderter deutscher Unternehmen, die Kunden bei der perbit Software GmbH betroffen sind. csoonline.com schreibt hier<\/a>, dass zu den Kunden der HR-Software (Personalabteilung) und Dienste Unternehmen aller Branchen, wie die Industrie und Handelskammer (IHK) und den Badischen Gemeinde-Versicherungs-Verband (BGV) geh\u00f6ren. Zu letzterem Kunden hatte ich was im Blog-Beitrag Cyberangriffe: Rathaus Bissingen, Landesregierung K\u00e4rnten, BGV-Versicherung<\/a> geschrieben. Dort hie\u00df es, dass \"ein Dienstleister\" angegriffen worden sei und 770 BGV-Mitarbeiter, genauso wie ehemalige Mitarbeiter und Mitarbeiterinnen und Bewerber betroffen seien. Inzwischen gibt es diese Pressemitteilung<\/a>, dass der Dienstleister perbit gehackt wurde. <\/p>\n

Da der Dienstleister wohl nicht an die Ransomware-Hinterm\u00e4nner gezahlt hat, werden die beim Ransomware-Angriff erbeuteten Daten im Darknet ver\u00f6ffentlicht – seit einigen Tagen gibt es Meldungen wie hier<\/a> dazu. Die ver\u00f6ffentlichten Datens\u00e4tze enthalten hochsensible Kundendaten wie ontodaten, private Telefonnummern, Lohn- und Gehaltsabrechnungen sowie Sozialversicherungsnummern. Unternehmen, die Software bzw. Dienstleistungen von perbit benutzt haben, wird wird empfohlen, ihre Mitarbeitenden \u00fcber den Vorfall zu informieren und vor einem m\u00f6glichen Datenmissbrauch zu warnen. Der obige Facebook-Kontakt schrieb mir im Nachgang, dass er am 1.6.2022 eine solche Mail erhalten habe. <\/p>\n

\n

Laut diesem Tweet<\/a> werden von der AlphV\\BlackCat Ransomware-Gruppe gerade auch Daten der deutschen Leasingfirma AMS-Gruppe<\/a> mit Sitz in Berlin geleaked. Ich habe mir aber erspart, die Daten aus dem Darknet zu ziehen und dort nachzuschauen, was ver\u00f6ffentlicht wird. Bei einer kurzen Recherche habe ich keine Meldung \u00fcber einen Cyberangriff auf diese Gruppe gefunden. <\/p>\n<\/blockquote>\n

Datenleck bei italienischer Jobb\u00f6rse Tuoagente<\/h2>\n<\/p>\n

Sicherheitsforscher vom CyberNews-Team haben eine offene Datenbank bei Tuoagente, einer italienischen Agentur f\u00fcr Arbeitssuche mit Hauptsitz in Rom, gefunden. \u00dcber die Datenbank waren die pers\u00f6nlichen Daten von mehr als 100.000 Personen f\u00fcr die \u00d6ffentlichkeit zug\u00e4nglich. Das Unternehmen schreibt, dass man mit 106.902 Vertriebsmitarbeitern zusammen arbeite, was der Anzahl der zug\u00e4nglichen Profile in der Datenbank entsprach. , die unser Team entdeckte – was bedeutet, dass alle Profile auf Tuoagente offengelegt wurden.<\/p>\n

Der zug\u00e4ngliche Datensatz enthielt personenbezogene Daten (PII) und war f\u00fcr jedermann zug\u00e4nglich. Zusammen mit den IP-Adressen enth\u00e4lt der 1,5 GB gro\u00dfe Datensatz eine Vielzahl von Daten, die bei den Arbeitsagenturen eingereicht wurden, wie Lebensl\u00e4ufe, Namen, E-Mails, Telefonnummern, Arbeitsverl\u00e4ufe und Regionen in Italien, in denen die Vermittler wohnen. Von den zug\u00e4nglichen pers\u00f6nlichen Profilen waren 40.136 mit Lebensl\u00e4ufen versehen, w\u00e4hrend 49.214 eine Telefonnummer enthielten. Alle Profile enthielten E-Mail-Adressen und Namen. Die Details lassen sich in diesem Blog-Beitrag<\/a> nachlesen.<\/p>\n

Datenleck bei Pegasus Airlines <\/h2>\n

Pegasus Airlines<\/a> ist eine t\u00fcrkische Billig-Fluglinie mit Sitz in Istanbul, die im Dezember 1989 von der irischen Aer Lingus<\/a> gemeinsam mit den t\u00fcrkischen Unternehmen Silkar Holding und Net Holding gegr\u00fcndet wurde. Die Linie bot auch Fl\u00fcge nach Deutschland an und es d\u00fcrften einige Mitb\u00fcrger mit dieser Fluglinie unterwegs gewesen sein. <\/p>\n

\"Peagasus<\/a><\/p>\n

Laut obigem Tweet<\/a> haben die Datenbank in einem AWS S3 Bucket wohl nicht abgesichert, so dass 6,5 TB zugreifbar waren. Hackread hat es hier<\/a> aufgegriffen – entdeckt wurde das Ganze bereits am 28. Februar 2022 durch ein Team von Sicherheitsforschern bei SafetyDetectives. Die haben dies in diesem Blog-Beitrag<\/a> \u00f6ffentlich gemacht. Die Sicherheitsforscher schreiben, dass in dem ungesch\u00fctzten AWS S3-Bucket rund 23 Millionen Dokumente gespeichert waren (entspricht einer Datenmenge von etwa 6,5 TB). <\/p>\n

Zu den offengelegten Daten geh\u00f6rten mehr als 3 Millionen sensible Flugdatendateien, darunter Flugkarten\/Revisionen, Details zu Vorflugkontrollen, Versicherungsdokumente und Informationen zum Schichtdienst der Besatzung. Dar\u00fcber hinaus enthielten mehr als 1,6 Millionen Dateien PII (personenbezogene Daten) des Flugpersonals. Dazu geh\u00f6rten ihre Fotos und Unterschriften.<\/p>\n

YODA: 47.000 WordPress-Plugins mit Malware<\/h2>\n

Viele Websites verwenden WordPress als Content Management Systeme (CMS) und die Betreiber bzw. Designer setzen dabei zus\u00e4tzlich auf Plugins, um zus\u00e4tzliche Funktionalit\u00e4ten zu bekommen. Plugins stellen aber ein bevorzugtes Ziel f\u00fcr Cyberkriminelle dar, die Entwicklern abgekauft und dann mit Malware versehen in die Plugin-Repositories eingestellt werden. In meinem Blog versuche ich daher mit einem minimalen Set an Plugins auszukommen, die zudem \u00fcberwacht und kontinuierlich aktualisiert werden.<\/p>\n

\"YODA:<\/a><\/p>\n

Sicherheitsforscher haben nun ein Open-Source-Framework mit dem Namen YODA<\/a> entwickelt, mit dem sich WordPress-Plugins automatisiert auf sch\u00e4dliche Inhalte untersuchen lassen, wobei auch die Herkunft der Plugins ermittelt wird. \u00dcber obigem Tweet und diesen Artikel<\/a> auf The Hacker News bin ich auf die Usenix-Ver\u00f6ffentlichung<\/a> der Sicherheitsforscher gesto\u00dfen.<\/p>\n

Im Rahmen einer Forschungsarbeit wurde die Entwicklung von CMS-Plugins auf \u00fcber 400.000 produktiven Webservern bis zum Jahr 2012 untersucht. YODA deckte 47.337 b\u00f6sartige Plugins auf 24.931 Websites auf. Davon wurden 41,5.000 Dollar f\u00fcr 3.685 b\u00f6sartige Plugins ausgegeben, die auf legitimen Plugin-Marktpl\u00e4tzen verkauft wurden. Durch gef\u00e4lschte Plugins wurden Entwickler um Einnahmen in H\u00f6he von 228.000 Dollar betrogen. Bei Angriffen nach der Bereitstellung wurden zuvor harmlose Plugins im Wert von 834.000 Dollar mit Malware infiziert. \u00dcber 94 % dieser b\u00f6sartigen Plugins sind heute noch aktiv.<\/p>\n

MySQL-Server per Internet erreichbar<\/h2>\n

Noch a shocking number: Laut nachfolgendem Tweet<\/a> und diesem Artikel<\/a> haben Sicherheitsforscher von Shadowserver die unglaubliche Zahl von 3,6 Millionen MySQL-Servern gefunden, die per Internet erreichbar sind. <\/p>\n

\"SQL<\/a><\/p>\n

Diese sind nat\u00fcrlich ein nettes Ziel f\u00fcr Angreifer, die auf schlecht abgesicherte oder offene MySQL-Server zielen. Die Forscher empfehlen, die Server aus dem Internet zu entfernen, um die Angriffsfl\u00e4che von au\u00dfen zu verringern.<\/p>\n

Schwachstellen in Open Automation Software <\/h2>\n

Sicherheitsforscher von Cisco Talos haben acht Schwachstellen (davon zwei kritisch) in einer Open Automation Software gefunden. Ich bin \u00fcber nachfolgenden Tweet<\/a> auf den Threadpost-Artikel Critical Flaws in Popular ICS Platform Can Trigger RCE<\/a> gesto\u00dfen. <\/p>\n

\"Open<\/a><\/p>\n

Der Sicherheitsforscher Jared Rittle von Cisco Talos entdeckte insgesamt acht Schwachstellen – zwei davon sind kritisch – in der Open Automation Software (OAS)-Plattform. Die schwerwiegendste Schwachtelle erm\u00f6glicht es einem Angreifer, beliebigen Code auf einem Zielrechner auszuf\u00fchren, schreibt der Entdecker in diesem Blog-Beitrag<\/a>. Die Schwachstellen betreffen die Open Automation Software OAS Platform, Version 16.00.0112. Patches zum Schlie\u00dfen der Schwachstelle sind verf\u00fcgbar. <\/p>\n","protected":false},"excerpt":{"rendered":"

Momentan rappelt es mal wieder gewaltig in Sachen Datenlecks bei Firmen. Eine t\u00fcrkische Billigfluglinie hat seine AWS-Server offen stehen gelassen, so dass 6,5 Terabyte an Daten abziehbar waren. Bei der perbit Software GmbH gab es einen IT-Sicherheitsvorfall und jetzt werden … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5535,4328],"class_list":["post-265957","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenleck","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265957","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265957"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265957\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265957"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265957"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265957"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}