Passendes Angebot dazu

, ,

Teenager hat Uber und Rockstar gehackt

Ein 16-jähriger Hacker hat sich mit Hilfe von Phishing-Attacken in die Unternehmen Uber und Rockstar Games gehackt und sich Zugang zu mehreren Gigabytes an Daten, internen Diensten und dem Unternehmens-Slack verschafft und diese heruntergeladen. Der Quellcode von Uber, GTA 5 und 6, Video-Gameplay des neuen Teils von Grand Theft Auto und viele andere Dinge waren in den Händen des Hackers. Das meiste davon ist bereits online.

Und wieder ein Phishing-Angriff…

Das ist auch nicht verwunderlich, denn der Mensch ist und bleibt die größte Schwachstelle jeder Cyberabwehr. Dennoch gibt es einen Schutz gegen diese Art von Angriffen, der vor allem in der Zwei-Faktor-Authentifizierung auch bei den internen Diensten des Unternehmens und in der ständigen Schulung der Mitarbeiter besteht. Ja, es mag ein wenig unangenehm sein, aber ein paar Jahre Arbeit zu verlieren, tut schon etwas mehr weh, egal ob es sich um einen neuen Teil von GTA oder dem Uber-Code handelt.

Die ordnungsgemäße Konfiguration interner Dienste und die rechtzeitige Reaktion auf atypisches Verhalten sollten der Standard für den Schutz sein. Der Hacker verschaffte sich Zugang zu einer Reihe von internen Unternehmensdiensten, Slack-Chats und Gigabytes an Quellcode und Daten, indem er Mitarbeiter austrickste. Aber er hat auch diesen Haufen Daten heruntergeladen, was offensichtlich kein typisches Verhalten ist und einige Zeit in Anspruch genommen hat; eine schnelle oder besser automatisierte Reaktion hätte den Schaden für die beiden Unternehmen in manchen Fällen verringert oder sogar vermeiden können.

Das FBI hat bereits bestätigt, dass eine Person hinter dem Hack der beiden Unternehmen steckt, der 18-jährige Hacker ist wahrscheinlich ein Mitglied der Lapsus$-Gruppe, die seit Anfang des Jahres bereits mehrere Dienste von z.B. Microsoft, Nvidia und Samsung gehackt hat. Dennoch können Sie sich schützen.

Es scheint, dass der Hacker noch immer Unternehmen erpresst, sodass wir nur begrenzte Daten über einige Details der Angriffe und die Beträge haben, die für mögliche Lösegelder und andere Verluste ausgegeben wurden. Aber es ist offensichtlich, dass der Schaden für die Unternehmen groß ist.

Damals erklärte Uber, dass Nutzerdaten wie Namen, Kreditkarten, Fahrten usw. sicher seien, und Fans der Grand Theft Auto-Serie begannen, das unveröffentlichte Spiel anhand von durchgesickerten Videos nachzustellen und neue Features zu analysieren. Die Reputationsverluste werden natürlich beträchtlich sein, mal sehen, was die Unternehmen als nächstes tun werden.

Passendes Angebot dazu

, ,

Lufthansa-Chef wird Opfer von Lufthansa Sicherheitslücke

DER SPIEGEL, Hamburg, 23.09.2022, 13.00 Uhr: “Weil sie sensible Daten enthält, solle man seine Bordkarte »wie Bargeld« behandeln, sagt Lufthansa. Carsten Spohr, Chef der Fluglinie, hat sich offenbar nicht daran gehalten – und wurde Opfer eines IT-Schlupflochs.”

Noch Unbekannte haben vor kurzem eine Gelegenheit genutzt und den QR-Code einer Bordkarte des Vorstandsvorsitzenden ausgelesen. Wie Lufthansa gegenüber DER SPIEGEL eingesteht, enthalten die QR-Codes der Lufthansa-Bordkarten neben Reiseinformationen auch persönliche Informationen der Reisenden wie bsw. Servicekartennummern, Email-Adressen und Mobiltelefonnummern.

Gut zu wissen! Man sollte also eine Lufthansa-Bordkarte wie Bargeld behandeln. Klar, auch mit Bargeld wedelt man nicht in der Luft herum, oder lässt es für Neugierige aus der Gesäßtasche herauslauern. Aber mal ernsthaft, wieviel aufwendiger ist es, die Daten auf einer Bordkarte anstatt nur codiert verschlüsselt abzuspeichern?

Achten Sie also darauf: Codierung ist keine Verschlüsselung! Speichern Sie im Kontext der Datenverarbeitung und dem Austausch mit optisch lesbaren Datenträgern bzw. Formaten die Daten verschlüsselt. Gute Beispiele sind Warenaufkleber, hier haben wir im Rahmen eines Security Assessments manigfaltige Informationen über ein Produkt finden können, inkl. Informationen zum Vorlieferanten.

Passendes Angebot dazu

, ,

Phishing-as-a-Service gewinnt im Dark Web an Bedeutung

Cybersicherheitsexperten haben im Dark Web einen neuen Phishing-as-a-Service-Anbieter gefunden, der seinen Kunden die Möglichkeit bietet, Phishing-Angriffe auf Kunden beliebter Dienste durchzuführen, auch wenn MFA (Multi Factor Authentication) aktiviert ist.

Kriminelle arbeiten mit Reverse-Proxy- und Cookie-Injection-Technologien. Der Dienst ermöglicht Angriffe auf Nutzer von Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex und anderen Diensten. Konten mit aktiviertem MFA, sowohl SMS als auch Anwendungstoken, werden angegriffen.

Mitarbeiter von Fortune-500-Unternehmen wurden bereits erfolgreich angegriffen.

Unsere Kunden kennen das: Jahrelang habe ich immer wieder dafür plädiert, die 2-Faktor-Authentisierung oder Multi-Faktor-Authentisierung einzusetzen, und nun das.
Was sollen wir unseren Kunden raten? Eine gute Nachricht ist, mit einem wachen Auge und scharfem Verstand hätten diese Angriffe leicht bemerkt werden können. Die schlechte Nachricht ist, selbst geschultes Personal ist im Falle der hier genannten Attacken auf den Schwindel hereingefallen. Aktuelle Versionen von Microsoft default Bedrohungsschutz unter Windows “Defender”, erkennen solche Angriffe und können davor warnen bzw. sie verhindern. Halten Sie daher Ihre Schutzsoftware stets auf dem Laufenden. Eine weitere gute Nachricht ist, außer Uber, Microsoft und Twilio gab es bislang keine bekannten erfolgreichen Angriffe.

Passendes Angebot dazu

, ,

Datenbank mit 800 Millionen Gesichtern im Netz

Medienberichten zufolge stand eine Datenbank mit 800 Millionen Datensätzen, bestehend aus Fotos von Gesichtern und Nummernschildern, bis in den August offen zugreifbar im Netz. Die Daten stammten demnach von Überwachungskameras des chinesischen Herstellers Xinai Electronics.

Die Systeme des Herstellers sollen Zugangskontrollen von Personen und Fahrzeugen etwa zum Arbeitsplatz, Parkhäusern, Schulen oder Baustellen bieten. Wie Techcrunch berichtet, will das Unternehmen nicht nur Zutrittskontrollen damit umsetzen, sondern damit auch die Überwachung der Anwesenheit von Mitarbeitern etwa für Gehaltsabrechnungszwecke ermöglichen. Die Cloud-Systeme zum Scannen von Kfz-Kennzeichen sollen hingegen etwa Parkhausbetreibern ermöglichen, Parkgebühren ohne Personal vor Ort zu erheben.

Xinai betreibt dazu ein weitreichendes Netz von Kameras in ganz China. Damit sammelte das Unternehmen Millionen Fotos von Gesichtern und Nummernschildern. Auf der Firmenwebseite behauptet Xinai, die Daten seien sicher auf den eigenen Servern abgelegt. Das entpuppte sich nun offenbar als leeres Versprechen.

Der IT-Sicherheitsforscher Anurag Sen fand die ungeschützte Datenbank auf einem vom Unternehmen Alibaba in China gehosteten Server. Sen zufolge enthielt die Datenbank eine große Fülle an Informationen und wuchs rapide von Tag zu Tag an. Bis sie schließlich mehrere Hundert Millionen von Datensätzen und vollständige Webadressen von Bilddateien enthielt, die auf mehreren Domains gehostet wurden, die zu Xinai gehörten. Weder die Datenbank noch die gehosteten Bilddateien seien durch Passwörter geschützt gewesen und konnten von jedem, der wusste, wo er suchen musste, über den Webbrowser aufgerufen werden.

Weiter enthielt die Datenbank Links zu hochauflösenden Fotos von Gesichtern. So etwa von Bauarbeitern beim Betreten von Baustellen, von Bürobesuchern beim Einchecken, sowie zu anderen persönlichen Informationen wie Name, Alter und Geschlecht der Person und zu den Einwohner-ID-Nummern. Zudem enthielt sie Aufzeichnungen von Fahrzeugkennzeichen, die von den Kameras in Parkhäusern, Einfahrten und anderen Büroeingängen erfasst wurden.

Wie Techcrunch ausführt, war Sen nicht der Einzige, der die Datenbank entdeckt hat. In einer undatierten Lösegeldforderung behauptete ein Erpresser, er habe den Inhalt der Datenbank gestohlen und würde die Daten im Austausch gegen einige hundert Dollar in Kryptowährung wiederherstellen. Es sei nicht bekannt, ob der Erpresser Daten gestohlen oder gelöscht hat. Die in der Lösegeldforderung angegebene Blockchain-Adresse habe jedoch keine Gelder erhalten.

Mitte August sei die Datenbank verschwunden und nicht mehr zugreifbar gewesen. Zwar gilt seit dem 1. Novermber 2021 ein Datenschutzgesetz in China, das etwa vorsieht, vor der Erhebung und Verarbeitung von Daten durch Unternehmen die Einwilligung von Nutzern einzuholen. Doch staatliche Stellen bleiben außen vor. Offensichtlich dämmt es die Datensammelwut auch nicht ein.

So wurde etwa vor rund zwei Monaten bekannt, dass die Shanghaier Polizei sich rund eine Milliarde Datensätze hat stehlen lassen. Es bleibt abzuwarten, ob die jungen Datenschutzgesetze hier künftig zu Besserungen für die chinesische Bevölkerung führen.

End of content

End of content