{"id":305925,"date":"2024-11-09T12:04:44","date_gmt":"2024-11-09T11:04:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305925"},"modified":"2024-11-18T10:59:20","modified_gmt":"2024-11-18T09:59:20","slug":"datenleck-bei-maschinen-handelsseite-ibz-handelswelt-de-lebenshilfe-heinsberg-mit-problemen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/11\/09\/datenleck-bei-maschinen-handelsseite-ibz-handelswelt-de-lebenshilfe-heinsberg-mit-problemen\/","title":{"rendered":"Datenleck bei Maschinen-Handelsseite ibz-handelswelt.de; Lebenshilfe Heinsberg mit Problemen"},"content":{"rendered":"

\"SicherheitHeute noch ein Beitrag aus der Rubrik \"Mc Murphy, irgend etwas geht immer schief\". Das Portal f\u00fcr den Handel mit gebrauchten Maschinen, ibz-handelswelt.de<\/em>, stand f\u00fcr unbefugte Dritte \"offen\", weil der Betreiber seine Backups ungesch\u00fctzt auf einem FRITZ!Box NAS im Internet erreichbar machte. Weiterhin gibt es aktuell bei der Lebenshilfe Heinsberg eine gro\u00dfe \"technische St\u00f6rung\" – weshalb die Organisation auch die kommenden Tage nicht per E-mail erreichbar sei. Erg\u00e4nzung:<\/strong> War eine Infektion mit Ransomware.<\/p>\n

<\/p>\n

Datenleck bei der ibz-handelswelt<\/h2>\n

\"\"Nachfolgend beschreibe ich den Fall des Datenlecks bei der Webseite ibz-handelswelt.de, auch als Warnung aus der Kategorie \"der Teufel steckt im Detail\".<\/p>\n

Wer ist ibz-handelswelt.de?<\/h3>\n

\"\"Bei ibz-handelswelt.de handelt es sich um ein Portal, auf dem zwei j\u00fcngere Gr\u00fcnder gebrauchte Bau- und Industriemaschinen ankaufen und auch wieder verkaufen.<\/p>\n

\"ibz-handelswelt.de\"<\/a><\/p>\n

Laut Webseite wird alles im Bereich Baumaschinen, LKW und andere Nutzfahrzeuge, Bagger und Radlader, Gabelstapler und andere Flurf\u00f6rderfahrzeuge sowie elektrische Hubwagen angekauft und wieder angeboten. Hinzu kommt der Ankauf von Industriemaschinen und Restposten.<\/p>\n

Kunden k\u00f6nnen auch Gabelstapler mieten, wie ich auf der Webseite gesehen habe. Alles unspektakul\u00e4r – eine gute Idee und das Unternehmen, welches als GbR mit zwei Gesch\u00e4ftsf\u00fchrern fungiert, wird vom Bundesland Th\u00fcringen sowie der EU gef\u00f6rdert.<\/p>\n

Ein Leserhinweis auf ein Datenleck<\/h3>\n

Zum 13. Oktober 2024 erhielt ich eine Leser-Mail, die mich auf ein Datenleck bei der Plattform ibz-handelswelt.de<\/em> hinwies. Der Blog-Leser, der ungenannt bleiben wollte, berichtete, dass er im Internet \u00fcber einen Fall von Datenleck bei der genannten Webseite gestolpert sei.<\/p>\n

Zum Sachverhalt: Der Betreiber sichert die Backups seiner Webseite (im aktuellen Fall eine WordPress-Instanz) inklusive der Datenbank regelm\u00e4\u00dfig auf ein – an der heimischen FRITZ!Box eingerichtetes – NAS-Laufwerk. Das Ganze erfolgt per FTP – alles kein wirkliches Problem.<\/p>\n

Zum Problem wurde das Ganze, weil der FTP-Server an der FRITZ!Box leider so eingestellt war, dass ein Zugriff im \"anonymous mode\" ohne Passwort m\u00f6glich war. Und das FRITZ!Box NAS war per FTP per Internet zugreifbar. Die Daten, die in den Backups gesichert waren, standen damit offen im Internet.<\/p>\n

\"Backups<\/p>\n

Und diese Backups waren keinesfalls per Passwort gesch\u00fctzt. Ich habe es kurz \u00fcberpr\u00fcft, ich konnte problemlos auf den FTP-Bereich zugreifen, habe mir aber verkniffen, in die Dateien rein zu schauen. Der Leser schrieb, dass er bei einem kurzen Blick in die ungesch\u00fctzte Datenbank dort den DNS-Eintrag und das Passwort f\u00fcr den Zugang gefunden habe.<\/p>\n

Zudem fanden sich in den Backups auch diverse datenschutzrelevante Informationen wie z.B. die E-Mail-Adressen von Interessenten und Kunden. Aus rechtlichen Gr\u00fcnden (siehe<\/a>) verzichte ich auf die Darstellung der betreffenden Screenshots, und es fand auch keine tiefere Analyse statt – als erste Details sichtbar wurden, war die sicherheitstechnische DSGVO-Relevanz klar und jegliche weitere Inspektion wurde abgebrochen.<\/p>\n

Kontakt mit dem Betreiber<\/h3>\n

Ich habe dann f\u00fcr den Leser die Aufgabe \u00fcbernommen, mit den Gesch\u00e4ftsf\u00fchrern des Unternehmens Kontakt aufzunehmen. Nach einem kurzen Telefonat habe ich dem f\u00fcr die Webseite verantwortlichen Gesch\u00e4ftsf\u00fchrer die Details per Mail geschickt und diesen gebeten, den FTP-Zugang abzusichern.<\/p>\n

Ich hatte dem betreffenden Gesch\u00e4ftsf\u00fchrer zudem nahegelegt, binnen 72 Stunden einen DSGVO-Vorfall bei den zust\u00e4ndigen Aufsichtsbeh\u00f6rden zu melden und die Kunden ebenfalls zu informieren. Weiterhin hatte ich die Leute auf \"problematische Konstrukte\" in der Webseite wie Google Fonts oder Google Analytics hingewiesen.<\/p>\n

Die Schwachstelle wurde am 14. Oktober 2024, binnen Stunden nach meiner Meldung, geschlossen, der FTP-Zugang mit den Backups ist inzwischen abgesichert. Der Gesch\u00e4ftsf\u00fchrer hatte mir das in einer kurzen Mail best\u00e4tigt, wollte sich aber \"zeitnah\" ausf\u00fchrlicher \u00e4u\u00dfern. Die zugesagte R\u00fcckmeldung ist nicht erfolgt, da das Datenleck geschlossen wurde, bestand meinerseits auch keine Notwendigkeit, eines weiteren Kontakts.<\/p>\n

Ob der zust\u00e4ndige Landesdatenschutzbeauftragte von Th\u00fcringen eine Meldung \u00fcber einen Datenschutzvorfall vorliegen hat und ob die betroffenen Kunden informiert wurden, entzieht sich meiner Kenntnis – die avisierte R\u00fcckmeldung ist ausgeblieben. Auf der Webseite des Unternehmens habe ich keinen Hinweis auf das Datenleck gefunden. Ob unbefugte Dritte auf diese Daten oder die WordPress-Installation zugegriffen haben, entzieht sich ebenfalls meiner Kenntnis.<\/p>\n

Offenlegung des Vorfalls<\/h3>\n

Der Vorfall zeigt, wie schnell man in ein solches Problem rauscht – eine Unachtsamkeit und Daten stehen offen im Internet.\u00a0Ich hatte der betreffenden Person beim Kontakt den Hinweis gegeben, dass ich binnen 14 Tagen \u00fcber diesen DSGVO-Vorfall berichten werde. Diese Frist ist Ende Oktober 2024 verstrichen, so dass ich den Fall hier offen lege. An dieser Stelle mein Dank an den Blog-Leser f\u00fcr den Hinweis.<\/p>\n

Technische Probleme bei der Lebenshilfe Heinsberg<\/h2>\n

Die Bundesvereinigung Lebenshilfe e. V.<\/a> agiert als Selbsthilfevereinigung,\u00a0Eltern-,\u00a0Fach- und\u00a0Tr\u00e4gerverband, insbesondere f\u00fcr Menschen mit\u00a0Behinderung\u00a0und ihren\u00a0Familien. Die Lebenshilfe unterst\u00fctzt somit Menschen zur\u00a0gleichberechtigten\u00a0Teilhabe\u00a0in der\u00a0Gesellschaft. Also eine wichtige Organisation, wobei es dann lokale B\u00fcros der Lebenshilfe gibt, die die Unterst\u00fctzung vor Ort organisieren.<\/p>\n

\"Technische<\/a><\/p>\n

Ein weiterer Blog-Leser informierte mich gerade \u00fcber ein Technisches Problem bei der Lebenshilfe Heinsberg<\/a>. Auf deren Webseite findet sich seit Freitag, den 8. November 2024, die Information, dass es in der Einrichtung einen gro\u00dfen technischen Ausfall gebe und man in den kommenden Tagen nicht per E-Mail erreichbar sei. Klingt nicht gut – \u00fcber den Grund der technischen St\u00f6rung wird sich nicht ausgelassen.<\/p>\n

Lebenshilfe Heinsberg Ransomware-Opfer<\/h2>\n

Erg\u00e4nzung:<\/strong> War eine Infektion mit Ransomware (siehe unten stehende Kommentare). Auf X gibt es nachfolgenden Post, in dem FalconFeeds.io die Lebenshilfe Heinsberg als Opfer der Termite-Ransomware-Gruppe listet.<\/p>\n

\"Ransomware-Opfer<\/p>\n","protected":false},"excerpt":{"rendered":"

Heute noch ein Beitrag aus der Rubrik \"Mc Murphy, irgend etwas geht immer schief\". Das Portal f\u00fcr den Handel mit gebrauchten Maschinen, ibz-handelswelt.de, stand f\u00fcr unbefugte Dritte \"offen\", weil der Betreiber seine Backups ungesch\u00fctzt auf einem FRITZ!Box NAS im Internet … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-305925","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305925","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305925"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305925\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305925"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305925"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305925"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}