{"id":294167,"date":"2024-04-09T12:12:08","date_gmt":"2024-04-09T10:12:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294167"},"modified":"2024-04-10T19:07:17","modified_gmt":"2024-04-10T17:07:17","slug":"sicherheitsvorflle-mrz-april-2024-stand-9-4-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/09\/sicherheitsvorflle-mrz-april-2024-stand-9-4-2024\/","title":{"rendered":"Sicherheitsvorfälle März\/April 2024 (Stand 9.4.2024)"},"content":{"rendered":"

\"SicherheitHeute noch ein kurzer Rundflug zum Thema Sicherheit und Sicherheitsvorf\u00e4lle der letzten Wochen, die ich mal in einem Sammelbeitrag zusammen fasse. Das Festspielhaus Baden-Baden hat es erwischt – und auch der Anbieter Genios (Presse-Portal, erm\u00f6glicht hunderte Tageszeitungen im Abo zu lesen) ist Opfer eines Cyberangriffs geworden. Halluzinierende KI-Assistenten schmuggeln Pakete in Software-Repositories ein – und bzgl. der xz-Backdoor gibt es erste Scanner, die infizierte Systeme aufsp\u00fcren. Und Microsoft Bin scheint mal wieder mit \"Malware-Funden der Art MSIL\/Microsoft.Bing.D aufzufallen\". Das sind nur einige der angerissenen Themen.<\/p>\n

<\/p>\n

Presse-Portal Genios<\/h2>\n

\"\"Hannes hat mich per Mail kontiert und auf einen Cybervorfall bei genios.de<\/a> hingewiesen (danke daf\u00fcr). Das angeblich gr\u00f6\u00dfte deutsche Presseportal ist wohl am Wochenende Opfer eines Hackerangriffs und informieren auf ihrer Website und bei Facebook dar\u00fcber. Auf der Webseite hei\u00dft es:<\/p>\n

Unsere Server sind aktuell nicht erreichbar!<\/p>\n

Aufgrund eines massiven Hackerangriffs sind unsere Server aktuell nicht erreichbar. Wir arbeiten mit Hochdruck an der L\u00f6sung des Problems.<\/p><\/blockquote>\n

Auf Facebook wird von einem Ransomware-Angriff berichtet, und deren IT geht von einem mehrt\u00e4tigen Ausfall aus. Der Dienst erm\u00f6glicht eine Mitgliedschaft (unter 20 Euro\/Jahr) in einer von zahlreichen Bibliotheken. Dann erh\u00e4lt man Zugriff auf diesen Dienst und kann hunderte Tageszeitungen damit lesen bzw. darin recherchieren.<\/p>\n

Festspielhaus Baden-Baden<\/h2>\n

Das Festspielhaus Baden-Baden wurde diesem Tweet<\/a> zufolge von der Ransomware-Gruppe Play angegriffen. Dabei wurden pers\u00f6nliche, und vertrauliche Daten, Kundendokumente, Budgets, Gehaltsabrechnungen, Buchhaltung, Vertr\u00e4ge, Steuern, Ausweise und Finanzinformationen abgezogen. Die Play Ransomware-Gruppe hatte eine Deadline bis zum 2. April 2024 zur Zahlung gesetzt und mit Ver\u00f6ffentlichung der Daten gedroht.<\/p>\n

Innomotive Systems Hainichen GmbH<\/h2>\n

Die Innomotive Systems Hainichen GmbH ist ein traditionsreicher Zulieferer f\u00fcr die Automobilindustrie. Im deutschen Werk werden seit 1992 Fahrzeug-Scharniere, T\u00fcrfeststeller und Sonderprodukte wie \u00d6lpumpen und Aluminiumbauteile f\u00fcr Automotive gefertigt. Die Firma macht auch Prototyping und Kleinserienfertigung.<\/p>\n

Diesem Tweet<\/a> (und dieser Liste<\/a>) zufolge wurde Innomotive Systems Opfer der Ransomware-Gruppe Ra World. Den Angreifern gelang es 20 GByte an Daten, darunter Finanzdokumente, Vertragsunterlagen, Konstruktionszeichnungen usw. abzurufen.<\/p>\n

Europol \"verliert\" Personaldaten<\/h2>\n

Es ist ein Fall, der an \"Brisanz\" kaum noch zu toppen ist, aber weitgehend unter dem Radar geblieben ist. Europol wirbt ja massiv f\u00fcr einen Datenzugriff auf alles und jedes, um Straftaten im Vorfeld zu verhindern und sp\u00e4ter aufkl\u00e4ren zu k\u00f6nnen. Selbstredend w\u00e4ren diese Daten bestm\u00f6glich abgesichert, schlie\u00dflich ist Europol eine gut organisierte Beh\u00f6rde. Ok, ich glaube, ich bin jetzt in die falsche Zeile beim Ablesen gerutscht.<\/p>\n

\"Europol<\/a><\/p>\n

Die gleiche Beh\u00f6rde, die den Zugriff auf die Daten der Europ\u00e4er verlangt, hat vertrauliche Personalakten hochrangiger Mitarbeiter (darunter auch die Europol-Exekutivdirektorin Catherine De Bolle) \"einfach verloren\". Die sensiblen Dokumente befanden sich in einem sicheren Lagerraum in der Europol-Zentrale in Den Haag und waren im September 2023 pl\u00f6tzlich weg, nicht mehr auffindbar. Europol hat dann eine Untersuchung eingeleitet. Nun wurden einiger dieser Akten von einem B\u00fcrger an \"einem \u00f6ffentlichen Ort in Den Haag\" gefunden und zur Polizei gebracht, wie hier<\/a> und hier<\/a> berichtet wird. Bei solchen Beh\u00f6rden sind \"unsere Daten doch in guten H\u00e4nden\" – noch Fragen?<\/p>\n

Schottische Gesundheitsdaten ver\u00f6ffentlicht<\/h2>\n

Wir digitalisieren die Medizin, was mag da schon schief gehen, Digitalisierung ist ja bekanntlich \"Fortschritt\", alles wird modern. Auch Gro\u00dfbritannien ist da dabei – hat aber \"das Pech gehabt, dass das National Health System (NHS) von Schottland gehackt wurde. Nun werden erste Daten aus dem 3 Terabyte Datenraub von den Cyberkriminellen ver\u00f6ffentlicht.<\/p>\n

\"NHS<\/a><\/p>\n

Die Kollegen von Bleeping Computer haben Ende M\u00e4rz 2024 in diesem Artikel<\/a> auf diesen Sachverhalt hingewiesen. Einen deutschsprachigen Artikel \u00fcber die Folgen des Cyberangriffs auf die schottische Gesundheitsbeh\u00f6rde mit ver\u00f6ffentlichten Daten finde sich auch bei heise<\/a>.<\/p>\n

Frankreich: Accor-Daten im Darknet<\/h2>\n

Eine Datenbank des franz\u00f6sischen multinationalen Gastgewerbeunternehmens Accor steht angeblich in einem Hackerforum zum Verkauf.\u00a0Der Bedrohungsakteur IntelBroker behauptet, dass die exfiltrierte Datenbank \"ContactID, Email, Home Email, Status, DNS, Account, Title, AccountID, Contact Function, Account Industry, Contact Industry, CreateDate, First Name, Last Name\" enth\u00e4lt (siehe<\/a>).<\/p>\n

Change Healthcare Opfer einer 2. Ransomwaregruppe<\/h2>\n

Change Healthcare<\/a> ist ein Anbieter von Umsatz- und Zahlungszyklusmanagement, der Kostentr\u00e4ger, Anbieter und Patienten innerhalb des US-amerikanischen Gesundheitssystems verbindet. Im Februar 2024 wurde der Anbieter Opfer eines Ransomware-Angriffs durch ALPHV\/Blackcat (siehe Nachlese Datenlecks und Hacks der Woche (23. Feb. 2024)<\/a>). Nun lese ich bei The Register<\/a>, dass der Anbieter nun erneut Opfer einer weiteren Ransomwaregruppe, RansomHub, die 4 TByte an Daten abgezogen haben will.<\/p>\n

Eset meldet MSIL\/Microsoft.Bing.D-Funde<\/h2>\n

Fabio hat mich gestern per Mail kontaktiert und schrieb, dass erneut ein Fund \"MSIL\/Microsoft.Bing.D\" bei ihm die letzten beiden Tage durch ESET AntiVirus gemeldet wurde. Aktuell gibt es bei ESET diese Forendiskussion<\/a> und diese Forendiskussion<\/a> dazu. Hervorgerufen werden die \"Funde\" (Unwanted Apps) durch das Bing-App-Zeug (Bing Wallpaper-App etc.), welches Microsoft auf die Rechner kippt.<\/p>\n

Das Ganze war im November 2022 bereits Thema (siehe hier<\/a> und hier<\/a>). Im Grindsoft-Blog ist das Ganze im Blog-Beitrag MSIL\/Microsoft.Bing.A Detection (BingWallpaper.exe)<\/a> schon mal diskutiert worden. Aktuell \"behelfen sich die Betroffenen\", indem sie f\u00fcr Bing eine Ausnahme in Eset definieren – oder versuchen, Bing zu deinstallieren (m\u00fcsste in der EU inzwischen gehen).<\/p>\n

Italienische Privacy Shield-Plattform geleaked<\/h2>\n

K\u00fcrzlich gab es die Meldung, dass der\u00a0 Quellcode und die Dokumentation der italienischen Anti-Piraterie-Plattform Privacy Shield auf GitHub geleakt worden sei. Quelle ist dieser Tweet<\/a>, bei einer Suche bin ich aber auf diesen Beitrag<\/a> von Ende M\u00e4rz gesto\u00dfen, der das Thema aufgegriffen hat. Dieser Vorfall wirft Fragen \u00fcber den Datenschutz, die Sicherheit und das Potenzial f\u00fcr Zensur auf.<\/p>\n

Stoned: Datenleck in Canabis-Club-Software<\/h2>\n

Ich gestehe, ich habe das Thema mit Vergn\u00fcgen zur Kenntnis genommen. Momentan hecheln ja einige Leute nach der Cannabis-Freigabe in Richtung Canabis-Clubs. Wie sich das geh\u00f6rt, hat man das alles digitalisiert und die Mitglieder ordentlich erfasst. Nun berichtet heise im Artikel Datenleck in Verwaltungs-Software von Cannabis-Clubs<\/a>, dass die Daten von mehr als 1000 Mitgliedern mehrerer Cannabis-Clubs \u00fcber deren Verwaltungssoftware \u00f6ffentlich abrufbar waren. Quelle ist wohl das ARD-Magazin Kontraste, welches hier<\/a> berichtet. H\u00e4h, sind \"wir jetzt alle ein bisschen stoned?\".<\/p>\n

Kid-Security-App mit Schwachstelle<\/h2>\n

\"Kid Security\" ist eine Tracking-App, die von Helicopter-Eltern zur \u00dcberwachung ihrer Spr\u00f6sslinge eingesetzt wird. Abseits der Frage nach der Legalit\u00e4t dieses Einsatzes und der Frage, dass der Entwickler der App in Kasachstan residiert, ergibt sich auch ein Sicherheitsprobleme. Sicherheitsforscher haben festgestellt, dass die von der App gesammelten Daten (GPS-Standortinformationen, geschickte Nachrichten) offen online einsehbar waren. Details finden sich in diesem Beitrag<\/a> und bei heise im Beitrag Kritisches Datenleck in Kinder\u00fcberwachungs-App \"Kid Security\"<\/a>.<\/p>\n

Dating-App verraten Standort<\/h2>\n

Dating-Apps bieten die M\u00f6glichkeit, mit Menschen in der N\u00e4he in Kontakt zu treten und nutzen in der Regel Standortdaten, um die Chancen auf reale Treffen der Nutzer zu erh\u00f6hen. Einige Apps k\u00f6nnen den Nutzern dabei sogar die eigene Entfernung zu anderen Nutzern anzeigen. Diese Funktion ist sehr n\u00fctzlich f\u00fcr die Koordinierung von Treffen, da sie anzeigt, ob ein potentieller Partner nur eine kurze Strecke entfernt, oder etwas weiter weg ist.<\/p>\n

Wenn der eigene Standort offen mit anderen Nutzern geteilt wird, kann dies allerdings zu ernsthaften Sicherheitsproblemen f\u00fchren kann. Die Risiken werden deutlich, wenn man den m\u00f6glichen Missbrauch durch eine neugierige Person bedenkt, die \u00fcber Kenntnisse der Trilateration verf\u00fcgt. Check Point Security (CPS) hat sich in einem Artikel<\/a> den versteckten Gefahren der Geolokalisierung bei Dating-Apps gewidmet und Details ver\u00f6ffentlicht.<\/p>\n

ACR beim Smart-TV abschalten<\/h2>\n

Bei Smart-TV-Ger\u00e4ten gibt es wohl eine Funktion Automatic Content Recognition<\/a> (ACR), die die vom Nutzer abgerufenen Sendungen erkennen und analysieren kann. Sicherheitsanbieter AVASt hatte bereits 2021 den Beitrag So verhindern Sie, dass Ihr Smart-TV Sie ausspioniert<\/a> ver\u00f6ffentlicht und empfahl, ACR und ggf. weitere Funktionen wie die Kamera zu deaktivieren, um nicht ausspioniert zu werden. Das Thema poppt nun in den Medien wieder auf, wie ich gerade bei einer Suche feststelle, nachdem Focus das hier<\/a> die Tage aufgegriffen hat.<\/p>\n

Neues von der xz-Backdoor<\/h2>\n

Ich hatte ja Ende M\u00e4rz 2024 \u00fcber die Backdoor in der xz\/liblzma-Bibliothek berichtet, die von einem neugierigen Microsoft Mitarbeiter rechtzeitig vor der Aufnahme in viele Linux-Distributionen entdeckt wurde (siehe Linux: Backdoor in Upstream xz\/liblzma; Kompromittierung der SSH-Server<\/a>). Der Fall hat riesige Wellen geschlagen, weil der Versuch, eine Hintert\u00fcr in eine Open Source Bibliothek einzuschleusen, gl\u00fccklicherweise rechtzeitig aufgeflogen ist.<\/p>\n

\"XZ<\/a><\/p>\n

Im Hinblick auf die Frage, \"was gibt es Neues?\" habe ich zwei Fundsplitter aus dem Web. Microsoft hat Ende M\u00e4rz 2024 in der Techcommunity den Beitrag Microsoft FAQ and guidance for XZ Utils backdoor<\/a> ver\u00f6ffentlicht, der Fragen rund um das Thema beantwortet. Und die Kollegen von Bleeping Computer berichten in diesem Beitrag<\/a> von einem neuen XZ-Backdoor-Scanner, der Implantate in jeder Linux-Bin\u00e4rdatei\u00a0 erkennen soll. Eine Aufbereitung des Vorfalls per Timeline l\u00e4sst sich auf dieser Webseite<\/a> nachlesen.<\/p>\n

Ivanti RCE-Schwachstelle in VPN-Gateways<\/h2>\n

Hersteller Ivanti vermeldet eine neue Remote Code Execution-Schwachstelle, die seine VPN-Gateways bedroht. Ist nichts neues bei dieser Software – wer das Zeugs noch einsetzt, findet bei den Kollegen von Bleeping Computer in diesem Artikel<\/a> einige Hinweise.<\/p>\n

Apothekendienstleister in Estland gehackt<\/h2>\n

Die Daten im Medizinwesen sind sicher gespeichert, h\u00f6re ich immer wieder, wenn es um die Digitalisierung im Gesundheitswesen (eRezept, ePatientenakte etc.) geht. Manchmal kommt noch \"schaut in die baltischen Staaten, da l\u00e4uft es seit Jahrzehnten prima mit der Digitalisierung\". Nun ja, gibt immer wieder so Vorf\u00e4lle, wo es dort auch nicht rund l\u00e4uft.<\/p>\n

<\/p>\n

In Estland wurde ein Apothekendienstleister gehackt und fast 700.000 Kundendaten wurden abgezogen. Ok, ok, ist \"eine mickrige Zahl\", wenn es nicht um Millionen geht, lockt das keinen Hund hinter dem Ofen hervor. Da Estland aber nur ein kleines Land ist, betrifft der Cybervorfall die H\u00e4lfte der estnischen Bev\u00f6lkerung, wie heise hier berichtet<\/a>. Da freut sich der Mensch doch richtig auf die Digitalisierung.<\/p>\n

K\u00fcrzlich wurde eine Krebsklinik in den USA gehackt und die Daten von \u00fcber 800.000 Patienten wurden abgegriffen (siehe den Beitrag<\/a> der Kollegen von Bleeping Computer). Mir liegt eine neue Information von Surfshark vor, dass in den USA Organisationen seit 2009 mindestens 5.553 Verletzungen von Gesundheitsdaten gemeldet haben. Der gr\u00f6\u00dfte Hack im Gesundheitsdatenbereich ereignete sich im Jahr 2015 und betraf fast 79 Millionen Menschen, die bei Anthem Inc. Kunden waren. Der Bericht ist hier<\/a> abrufbar.<\/p><\/blockquote>\n

KI-Risiken<\/h2>\n

Mir sind zudem noch zwei Informationen zugegangen, die die Risiken k\u00fcnstlicher Intelligenz in Bezug auf Lieferketten f\u00fcr Software darstellen. Golem hat es k\u00fcrzlich in diesem Artikel<\/a> aufgegriffen. Von halluzinierend KI-Assistenten erzeugte Pakete landen in Softwarebibliotheken und bergen ein Sicherheitsrisiko f\u00fcr die Lieferkette.<\/p>\n

Generell scheinen sich Lieferketten f\u00fcr Software zur Archillesferse der Software-Entwicklung zu informieren. Mir ist k\u00fcrzlich ein Bericht von JFrog zugegangen, der aktuelle Probleme der Sicherheit von Software-Lieferketten und die gro\u00dfe Bedeutung von KI und IoT zeigt. Die Umfrage wurde unter 1.224 DevOps-, Sicherheits- und IT-Fachleuten durchgef\u00fchrt, die in den USA, Deutschland, Gro\u00dfbritannien, Indien, China, Frankreich und Israel arbeiten. Die Unternehmen haben alle 1.000 oder mehr Mitarbeiter und Software-Entwicklungsteams mit mindestens 50 Teammitgliedern. Es ging um die dringlichsten Problemen in den Bereichen Unternehmens-IT, Software-Lieferketten, KI und CVE, die IT-Experten weltweit besch\u00e4ftigen. F\u00fcr Deutschland liefert der Bericht folgende Ergebnisse:<\/p>\n