Das Slickwraps-Datenleck und die Dirty Cow-Schwachstelle

[English]Der Anbieter Slickwraps ist aufgefallen, weil Sicherheitsforscher auf unterschützte Kunden- und Finanzdaten zugreifen konnten. Der Fall offenbart mal wieder Ignoranz und unglaublicher Schlendrian, da eine längt patchbare Dirty Cow-Schwachstelle nutzbar war.


Anzeige

Slickwraps ist ein in den USA angesiedelter Einzelhändler, der ein großes Sortiment an vorgefertigten Schutzhüllen für mobile Geräte verkauft. Es gibt auch die Möglichkeit, Sonderanfertigungen mit Bildern, die von Kunden hochgeladen wurden, herstellen zu lassen.

Der Datenschutzvorfall

Die Kollegen von Bleeping Computer haben hier den Fall der Datenschutzverletzung aufbereitet. In einem Beitrag für Medium gibt ein Sicherheitsforscher namens Lynx an, dass er im Januar 2020 vollen Zugang zur Slickwraps-Website erhalten konnte. Dazu nutze er eine Schwachstelle in einem Upload-Skript aus, das für Anpassungen an Smartphone-Cases durch die Nutzer verwendet wurde.

Der Beitrag ist inzwischen auf privat gesetzt worden und nicht mehr einsehbar. Es findet sich eine Information, dass der Post die Regeln von Medium verletzt habe und analysiert werde. Die Offenlegung im Medium-Beitrag erfolgte, nachdem der Sicherheitsforscher keine Antwort auf E-Mails an den Anbieter erhalten hatte.

Über die Schwachstelle will Lynx Zugriff auf die Lebensläufe der Mitarbeiter, 9 GB an persönlichen Kundenfotos, das ZenDesk-Ticketing-System, die API-Zugangsdaten sowie auf die persönlichen Kundendaten mit gehashten Passwörtern, Adressen, E-Mail-Adressen, Telefonnummern und Transaktionen erhalten haben.

Nachdem Lynx versucht hatte, diese Schwachstelle an Slickwraps zu melden, sei er mehrfach blockiert worden, so der Sicherheitsforscher. Er erklärte, dass es ihm nicht um die Bug-Bounty-Prämie gehe, sondern dass Slickwraps die Datenschutzverletzung offenlegen sollte.

Jemand hackt und verschickt Mails

Lynx informierte Bleeping Computer, dass ein weiterer nicht autorisierter Benutzer die Schwachstelle nach Veröffentlichung des Medium-Beitrags ausnutzte, um eine E-Mail an 377.428 Kunden zu schicken, die das ZenDesk-Helpdesk-System von Slickwraps nutzen.


Anzeige

Diese E-Mails beginnen mit “Wenn Sie dies lesen, ist es zu spät, wir haben Ihre Daten” und sind dann mit dem Medium-Post von Lynx verknüpft. Auf Twitter haben Leute Screenshots davon veröffentlicht.

Nachdem Bleeping Computer nachgefasst hat, musste Slipwraps den Datenschutzvorfall eingestehen (siehe obiger Tweet). Lawrence Abrams hat das sehr säuberlich im Bleeping Computer-Artikel aufbereitet.

Die schmutzigen Hinterhöfe

Ich hatte das von Bleeping Computer zwar gelesen, wollte es aber wegen Ami-Shop, nicht relevant, unter den Tisch fallen lassen. Dann bin ich auf eine Reihe von Tweets des MalwareHunterTeams gestoßen.

Mit obigem Tweet war mein Interesse geweckt und ich habe in den Tweets des Teams geblättert. Hier ein Folgetweet:

Dort sprang mir der Satz ‘Having a box vulnerable to Dirty COW (meaning not alone that, but imagine if that is still not fixed…) in 2020’ ins Auge. Nur mal so mein Artikel Sicherheitsinfos 21.10.2016, der die Dirty Cow-Schwachstelle im Linux-Kernel beschreibt.

Die Sicherheitslücke CVE-2016-5195 ermöglicht normalen Benutzer die Rechteausweitung, so dass Dateien überschrieben werden können, obwohl eigentlich nur Leserechte zulässig wären. Die Lücke existierte bereits seit 9 Jahren im Linux Kernel. Und die Betreiber der Plattform Slickwraps haben diese immer noch nicht geschlossen. Da liegt wohl einiges im Argen.


Anzeige
Dieser Beitrag wurde unter Linux, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.