{"id":293226,"date":"2024-03-12T07:29:15","date_gmt":"2024-03-12T06:29:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293226"},"modified":"2024-03-12T11:45:12","modified_gmt":"2024-03-12T10:45:12","slug":"sicherheitsmeldungen-12-3-2024-datenlecks-bei-tonerdumping-roku-cisa-ber-ivanti-bug-gehackt-und-mehr","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/12\/sicherheitsmeldungen-12-3-2024-datenlecks-bei-tonerdumping-roku-cisa-ber-ivanti-bug-gehackt-und-mehr\/","title":{"rendered":"Sicherheitsmeldungen (12.3.2024): Datenlecks bei Tonerdumping, Roku; CISA über Ivanti-Bug gehackt und mehr"},"content":{"rendered":"

\"SicherheitIch ziehe mal wieder einige Sicherheitsthemen und Vorf\u00e4lle der letzten Tage heraus, die mir untergekommen sind. Nutzerdaten von Tonerdumping stehen im Darknet zum Verkauf und Roku warnt vor 15.000 gehackten Benutzerkonten. Die US-Cybersicherheitsbeh\u00f6rde CISA wurde \u00fcber einen Ivanti-Bug gehackt. In Moskau wurde die Server der \"Regierung\" gehackt und verschl\u00fcsselt. LockBit 3.0 reklamiert einen Angriff auf die Government Pensions Administration Agency (GPAA) in S\u00fcdafrika und so weiter.<\/p>\n

<\/p>\n

Tonerdumping Benutzerdaten im Darknet<\/h2>\n

\"\"Tonerdumping ist ein Online-Shop f\u00fcr Refill Toner und Druckerpatronen in Deutschland. HackManac hat mich zum 8. M\u00e4rz 2024 \u00fcber folgenden Tweet<\/a> darauf hingewiesen, dass jemand in einem Untergrundforum die Daten von Tonerdumping-Nutzern angeblich zum Verkauf anbietet.<\/p>\n

\"Tonerdumping<\/a><\/p>\n

Es soll sich um eine zu Tonerdumping geh\u00f6rende Datenbank mit 344.000 Benutzerdaten handeln, die in einem Hacking-Forum zum Verkauf angeboten wird. Der Cyberkriminelle behauptet, dass das Leck Daten wie E-Mail-Adressen, Rechnungszahlungen, Namen, Telefonnummern und so weiter enth\u00e4lt. Die Best\u00e4tigung, dass es sich um Daten von Tonerdumping-Kunden handelt, steht noch aus.<\/p>\n

Roku warnt vor 15.000 gehackten Konten<\/h2>\n

Der US-Streaming-Anbieter Roku<\/a> warnt seine Nutzer, dass bis zu 15.000 Benutzerkonten \u00fcber sogenannte Credential Stuffing-Angriffe (also Nutzernamen und Passwort ausprobieren) gehackt worden seien. Die Kollegen von Bleeping Computer haben den Sachverhalt in diesem Artikel<\/a> offen gelegt – siehe auch nachfolgenden Tweet<\/a>.<\/p>\n

\"Roku-Kontenhack\"<\/a><\/p>\n

S\u00fcdafrika: Lockbit 3.0-Angriff auf die GPAA<\/h2>\n

Das K\u00fcrzel GPAA<\/a> steht f\u00fcr Government Pensions Administration Agency (GPAA), nach meiner Lesart so etwas wie die\u00a0 Rentenkasse der Regierung S\u00fcdafrikas. Die Government Pensions Administration Agency (GPAA) verwaltet die Renten im Auftrag ihrer Hauptkunden, des Government Employees Pension Fund (GEPF) und des Finanzministeriums.<\/p>\n

\"Lockbit<\/a><\/p>\n

HackManac weist in obigem Tweet<\/a> darauf hin, dass Berichten zufolge die Government Pensions Administration Agency (GPAA) in S\u00fcdafrika von der Ransomware-Gruppe LockBit 3.0 kompromittiert wurde. Die angeblich kompromittierten Daten umfassen 1,08 TB an Nutzerdaten, Finanzdaten und PII-Dokumenten. Die Frist zur Zahlung von L\u00f6segeld ist am 11. M\u00e4rz 2024 abgelaufen – wobei die Infrastruktur von LockBit bereits mehrfach beschlagnahmt wurde (siehe LockBit Ransomware-Gruppe zur\u00fcck? Und neue Erkenntnisse<\/a>). Aktuell ist der Sachverhalt unklar.<\/p>\n

CISA \u00fcber Ivanti-Bugs gehackt<\/h2>\n

Die US-Cybersicherheitsbeh\u00f6rde CISA musste die Tage eingestehen, dass einige ihrer Systeme gehackt worden sind und offline genommen werden mussten. The Record berichtete beispielsweise hier<\/a> \u00fcber den Vorfall.<\/p>\n

\"CISA<\/a><\/p>\n

Pikant: Die Hacker drangen im Februar 2024 \u00fcber Schwachstellen in Ivanti-Produkten in die Systeme der Cybersecurity and Infrastructure Security Agency (CISA) ein. Ein Sprecher der CISA best\u00e4tigte gegen\u00fcber Recorded Future News, dass die Beh\u00f6rde vor etwa einem Monat \"Aktivit\u00e4ten festgestellt hat, die auf die Ausnutzung von Schwachstellen in den von der Beh\u00f6rde verwendeten Ivanti-Produkten hinweisen\".<\/p>\n

\"Die Auswirkungen beschr\u00e4nkten sich auf zwei Systeme, die wir sofort offline genommen haben. Wir aktualisieren und modernisieren unsere Systeme weiterhin, und es gibt derzeit keine Auswirkungen auf den Betrieb\", zitiert das Medium eine Sprecherin. \"Dies ist eine Erinnerung daran, dass jede Organisation von einer Cyberschwachstelle betroffen sein kann und dass ein Plan zur Reaktion auf einen Vorfall eine notwendige Komponente der Widerstandsf\u00e4higkeit ist.\" Bernd hat in diesem Kommentar<\/a> zu meinem Artikel Ivantis uralter Software-Klump \u2013 f\u00e4llt auch Sicherheitsforschern auf<\/a> auf diesen Sachverhalt hingewiesen. In meinem Artikel skizziere ich, warum die Ivanti-Produkte ein latentes Risiko darstellen.<\/p>\n

Moskau: Server durch Nebula verschl\u00fcsselt<\/h2>\n

Nachtrag:<\/strong> Die Hackergruppe Nebula hat die Server der Moskauer Regierung \u00fcbernommen, Daten kopiert und Daten verschl\u00fcsselt (danke an Bolko f\u00fcr den Hinweis). Das geht aus nachfolgendem Tweet<\/a> hervor.<\/p>\n

\"Nebuala<\/a><\/p>\n

Das f\u00fchrt dazu, dass die\u00a0Troika Transportkarten, die man f\u00fcr den \u00f6ffentlichen Nahverkehr braucht, nicht mehr aufladbar sind (siehe Screenshot des obigen msk1-Zeitungsartikels). Der Server von\u00a0cert.by<\/em> (Belarus, Wei\u00dfrussland) ist ebenfalls down.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich ziehe mal wieder einige Sicherheitsthemen und Vorf\u00e4lle der letzten Tage heraus, die mir untergekommen sind. Nutzerdaten von Tonerdumping stehen im Darknet zum Verkauf und Roku warnt vor 15.000 gehackten Benutzerkonten. Die US-Cybersicherheitsbeh\u00f6rde CISA wurde \u00fcber einen Ivanti-Bug gehackt. In … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-293226","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293226","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293226"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293226\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293226"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293226"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293226"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}