{"id":283862,"date":"2023-07-17T12:21:28","date_gmt":"2023-07-17T10:21:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283862"},"modified":"2023-07-18T16:03:22","modified_gmt":"2023-07-18T14:03:22","slug":"datebkeck-legt-daten-registrierter-virustotal-kundenr-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/17\/datebkeck-legt-daten-registrierter-virustotal-kundenr-offen\/","title":{"rendered":"Datenleck legt Daten registrierter Virustotal-Kunden offen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der seit 2012 von Google betriebene Web-Service virustotal.com<\/em> (Gr\u00fcndung der spanischen Firma Hispasec Sistemas, \u00dcbernahme durch Google) ist bei Sicherheitsforschern und Firmen beliebt, um verd\u00e4chtige Dateien auf Schadsoftware zu \u00fcberpr\u00fcfen. Gewarnt wird aber, wie kritisch automatisiert auf Virustotal hochgeladene Dokumente im Hinblick auf den Datenschutz bez. Datenlecks sind, denn die Daten sind f\u00fcr Dritte einsehbar. Und auch eine Anmeldung bei virustotal.com<\/em> ist keine gute Idee, wie ein Datenleck zeigt. Dem \u00f6sterreichischen STANDARD ist eine Liste registrierter Kunden von virustotal.com<\/em> zugegangen, die Namen von Mitarbeitern samt E-Mail-Adressen offen legen. So mancher dieser Betroffenen aus Geheimdiensten oder Firmen m\u00f6chte seine Daten eher nicht \u00f6ffentlich sehen. Erg\u00e4nzende Informationen<\/strong> zum Artikel hinzugef\u00fcgt.<\/p>\n

<\/p>\n

\"\"Die Plattform virustotal.com<\/em> weist in ihren AGB darauf hin, dass die hochgeladenen Dateien von Dritten eingesehen werden. Enthalten die Dokumente Firmeninterna oder brisantes Material, wird dieses beim Upload \u00f6ffentlich. Daher ist der Dienst zwar hilfreich, birgt aber latent die Gefahr, dass bei der Nutzung etwas gewaltig schief gehen kann. Neben einer BSI-Warnung aus 2022 zeigt ein neuer Fall, was schief gehen kann.<\/p>\n

BSI-Warnung im M\u00e4rz 2022<\/h2>\n

Im M\u00e4rz 2022 hatte das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) eine Sicherheitswarnung ver\u00f6ffentlicht, die sich mit dem automatischen Upload von Dateien befasst. Im Dokument\u00a0 Datenabfluss im Falle von Dateipr\u00fcfungen bei VirusTotal<\/a> (PDF) hei\u00dft es:<\/p>\n

VirusTotal ist ein vom Unternehmen Google Inc. betriebener kostenloser Online-Dienst, bei dem man einzelne Dateien hochladen kann, die dann online durch aktuell \u00fcber 70 verschiedene Antivirenprogramme und Malwarescanner \u00fcberpr\u00fcft werden. Dieser Dienst wird von Privatpersonen und Unternehmen oftmals zur Pr\u00fcfung von verd\u00e4chtigen Dateien genutzt, um aufgrund der Vielzahl von Antivirenprogrammen verl\u00e4sslichere Ergebnisse als mit nur einem Scanner zu erhalten<\/p>\n

[…]<\/p>\n

W\u00e4hrend die Pr\u00fcfung von Datei-Hashwerten auf VirusTotal grunds\u00e4tzlich unkritisch ist, kann der Upload von verd\u00e4chtigen Dateien problematisch sein: Beim Upload von verd\u00e4chtigen Dateien zu Virustotal gibt man die Vertraulichkeit der hochgeladenen Dateien auf und macht diese, aufgrund der Vielzahl und Diversit\u00e4t der VirusTotal-Kunden mit Zugriff auf die hochgeladenen Dateien, de facto \u00f6ffentlich verf\u00fcgbar. Man stimmt dieser Datenweitergabe an Dritte mit den Nutzungsbedingungen auch explizit zu.<\/p>\n

Neben den Kunden k\u00f6nnen auch alle der \u00fcber 70 Antivirenhersteller eine Kopie der hochgeladenen Datei erhalten. Viele der AV-Hersteller haben ihren Sitz au\u00dferhalb der EU und verarbeiten die Daten auch au\u00dferhalb der EU. Es ist davon auszugehen, dass weltweit Institutionen hochgeladene Dateien im Rahmen von (Wirtschafts-)Spionage auswerten und Filter f\u00fcr Stichw\u00f6rter, beispielsweise \"Verschlusssache\" oder \"Intern\", gesetzt haben, wodurch sie in Echtzeit bei einem Upload solcher Dokumente informiert werden. Oft erfolgt ein Download dieser Dokumente dann automatisiert.<\/p>\n

Die Auswirkungen auf die Vertraulichkeit durch einen Upload und die daraus entstehenden Konsequenzen sind den Mitarbeitenden innerhalb der Institution oftmals nicht bekannt. Durch den Upload von TLP-markierten BSI-Warnungen schaden die Uploader dem Ansehen des Verteilkreises und des BSI. Das BSI muss in solchen F\u00e4llen pr\u00fcfen, ob es mit betroffenen Verteilkreisen noch alle Informationen teilen kann oder zum Schutz der Vertraulichkeit von Informationen ggf. einzelne Sachverhalte, Hinweise und IOCs zur\u00fcckhalten muss.<\/p><\/blockquote>\n

Im Dokument wurde ein Screenshot ver\u00f6ffentlicht, wo das BSI vermutet, dass geleakte BSI-Warnmeldungen von Empf\u00e4ngern der BSI-Verteilerkreises automatisiert auf virustotal.com<\/em> hochgeladen werden. Ger\u00e4t dann noch eine Liste mit dem BSI-Verteiler auf virustotal.com<\/em>, w\u00e4ren die Empf\u00e4nger quasi \u00f6ffentlich – etwas, was man unbedingt vermeiden will\/soll. Denn viele der Personen m\u00f6chten nicht \u00f6ffentlich mit ihrer Arbeit identifiziert werden.<\/p>\n

Neues Leck legt virustotal-Kundenliste offen<\/h2>\n

Dem \u00f6sterreichischen STANDARD ist eine nur 313 Kilobyte gro\u00dfe Datei zugegangen, die besser nie \u00f6ffentlich geworden w\u00e4re. Ende Juli 2023 gelangte diese Datei wohl \u00fcber ein Datenleck ins Internet. Brisant an der Datei: Diese enth\u00e4lt eine Liste mit 5.600 Namen von Kunden der Plattform virustotal.com<\/em>, die dort registriert waren. Dazu geh\u00f6ren auch Mitarbeiter des US-Geheimdienstes NSA und deutscher Geheimdienste.<\/p>\n

Wie genau die Datei \u00f6ffentlich wurde (z.B. als Upload auf Virustotal), geht nicht hervor. Auf Grund der Charakteristik der Daten muss die Datei aber aus dem inneren Umfeld von virustotal.com stammen.<\/p><\/blockquote>\n

Der STANDARD, dem die Datei mit der Liste vorliegt, schreibt<\/a>, dass diese jeweils den Name der Organisation und die E-Mail-Adresse der Mitarbeiterinnen und Mitarbeiter, die das Konto auf virustotal.com<\/em> angemeldet haben, enth\u00e4lt.<\/p>\n