Sicherheitsinfos (21.4.2020)

Im heutigen Beitrag möchte ich einige Sicherheitsinformationen zusammen fassen, die mir die Tage unter die Augen gekommen sind. Ein Datenleck offenbar Benutzerdaten eines Telekom-Unternehmens, eine Gesichtserkennungssoftware von Clearview lag auf einem offenen Server und mehr. Diverse Ergänzungen nachgetragen.


Anzeige

Annatel Datenleck legt Benutzerdaten offen

Das 2004 gegründete israelische Unternehmen Annatel bietet für französisch- und englischsprachige Menschen, die in Israel leben, Telekommunikationsprodukte und -dienstleistungen an. In diesem Artikel legen Sicherheitsforscher von vpnMentor einen Datenschutzvorfall bei Annatel offen. Bei der Suche nach offenen Datenbanken im Internet sind sie am 5. März 2020 auf eine solche ungeschützte Datenbank dieses Anbieters gestoßen. Nach mehreren Kontakten mit Annatel wurde das Datenleck am 11. März 2020 geschlossen.

Die offene Datenbank mit Aufzeichnungen von privaten Chats zwischen Annatel-Kunden und Firmenvertretern wurde auf Googles Firebase-Plattform gehostet. Während dieser Chats stellten die Annatel-Kunden sensible persönliche Daten und Zugangsdaten zu ihren Online-Konten der Firma zur Verfügung. Die Datenbank enthielt mehr als tausend Chats, meist in französischer Sprache. Zu den gefundenen Daten gehörten auch persönliche Daten wie:

  • Vollständige Namen und E-Mail-Adressen
  • Anmeldedaten für Annatel-Konten, wenn sie von Kunden freigegeben werden
  • Persönliche Informationen, die sich auf Kundensupport-Anfragen beziehen
  • IP-Adresse, Telefonnummern, wenn sie von Kunden weitergegeben werden
  • Bestellnummern in Bezug auf Annatel-Konten und -Käufe, wenn sie von Kunden gemeinsam genutzt werden

All diese Informationen waren öffentlich abrufbar, wodurch sowohl Annatel als auch seine Kunden der Gefahr von Betrug und Angriffen ausgesetzt waren. Die Sicherheitsforscher von vpnMentor haben auch Grund zu der Annahme, dass ein anderes System, das zu Annatel gehört, in einem separaten Vorfall gehackt wurde. Das schließen die Sicherheitsforscher aus den aufgezeichneten Gesprächen, die als Teil des ersten Lecks gefunden wurden. Details sind im verlinkten Artikel nachlesbar.

Datenleck bei Clearview AI

Clearview ist möglicherweise vielen Lesern ein Begriff, weil das US-Startup vor einigen Monaten in die Diskussion geriet, weil es öffentlich zugreifbare Bilder für eine Datenbank zur Gesichtserkennung 'zweckentfremdete' (siehe auch Lesetipp: Insights zur Gesichtserkennung). Dann hatte ein Hacker die Kundenliste des Unternehmens 'abgezogen' (siehe den Hinweis in Sicherheitsinfos (6.3.2020)).

Der Sicherheitsforscher Mossab Hussein von der in Dubai ansässigen Sicherheitsfirma SpiderSilk entdeckte kürzlich einen schlecht abgesicherten Server von Clearview. Auf diesem waren der Quellcode der Biometrieanwendung, fertige Apps für die Betriebssysteme Android, iOS, Mac und Windows, um die 70.000 Videos sowie Zugangskennungen für die betriebliche Messenger-Kommunikation übers Internet frei abrufbar. Hussein informierte sowohl ClearView als auch Techcrunch. Ein deutschsprachiger Artikel zum Datenleck findet sich bei heise.

BGP-Fixes der ISPs nachschauen

Das Kürzel BGP steht für Border Gateway Protocol, welches von Internetanbietern (Internet Service Providern, ISPs) zum Routen von Verbindungen zwischen Netzwerkknoten verwendet wird. Durch BGP-Hijacking oder BGP Route Leaks lässt sich der Datenverkehr auf Provider (ISP)-Ebene missbräuchlich umleiten. Passierte in der Vergangenheit häufiger (siehe Russland leitet Internetverkehr kurzzeitig um (4.2020) oder US-Internetverkehr für 2 1/2 Jahre über China geroutet).

Es gibt jedoch Schutzvorkehrungen und Sicherheitsverfahren, die von den Anbietern in der Regel getroffen werden, um zu verhindern, dass BGP-Trassenlecks die Netzwerke des anderen beeinflussen. Sprich: Wenn ein Provider solche Routing-Tabellen bekommt, die nicht zu seinem Bereich gehören, wird das ignoriert. Und falls doch ein BGP-Leck auftritt, ist das nach wenigen Minuten gefixt. Nur schlampen manche Provider, was Cloudflare ein Dorn im Auge ist.


Anzeige

Über obigen Tweet bin ich gestern auf ein Cloudflare-Tool aufmerksam geworden, welches prüft, ob ISPs die BGP-Fixes anwenden. Auf dieser Webseite findet sich eine Übersicht sowie eine Erklärung zum Ganzen. Um es vorweg zu nehmen: Cloudflare ist 'safe', Telekom, Telefonica oder Vodafon sind 'unsafe'. Sowohl heise als auch Golem haben deutschsprachige Beiträge zum Thema veröffentlicht.

267 Millionen Facebook-Profile im Darknet

Aktuell sind wohl die Preise für Datenlecks ziemlich im Keller – oder keiner braucht mehr Facebook-Profile. Gerade lese ich auf Twitter, dass 267 Millionen Facebook-Profile im Darknet schon für 600 US-Dollar zu haben sind.

Letzten Monat entdeckte der Sicherheitsforscher Bob Diachenko eine offene Elasticsearch-Datenbank, die etwas mehr als 267 Millionen Facebook-Einträge enthielt. Die meisten der Datensätze beziehen sich auf Benutzer aus den Vereinigten Staaten, enthalten aber keine Passwörter für den Zugang. Viele dieser Datensätze enthielten den vollständigen Namen eines Benutzers, seine Telefonnummer und eine eindeutige Facebook-ID. Die Daten ermöglichen aber Informationen für Spear-Phishing abzugreifen.

Der die Datenbank hostende ISP nahm den Server offline, nachdem er von Diachenko kontaktiert worden war. Allerdings wurde kurz danach ein zweiter Server, der dieselben Daten und zusätzlich 42 Millionen Datensätze enthielt, online gestellt. Der Server wurde schnell von unbekannten Hackern angegriffen, die eine Nachricht für den Eigentümer hinterließen, seine Server zu sichern. Details sind in diesem Beitrag von Bleeping Computer zu finden.

Bluekeep Exploit ist zurück

Die BlueKeep-Schwachstelle im RDP-Dienst von Windows bedroht ungepatchte Systeme von Windows XP bis Windows 7 und die betreffenden Server-Pendants. Ich hatte ja seit Monaten vor der BlueKeep-Schwachstelle gewarnt (siehe BlueKeep-Warnung: Exploit dürfte bald kommen). Es scheint aber, dass die BlueKeep-Schwachstelle in der Praxis nur schwierig ausnutzbar ist. Nur so ist zu erklären, dass es bisher recht ruhig um dieses Thema war, obwohl es einen öffentlich verfügbaren Metasploit gibt (siehe Windows: Bluekeep-Metasploit öffentlich verfügbar). Letztmalig hatte ich im Blog-Beitrag Neue Warnungen vor BlueKeep von Microsoft & Co. berichtet und es gab auch Angriffe (siehe Windows: Erste BlueKeep-Angriffe gesichtet).

Obigem Tweet entnehme ich, dass ein Bluekeep-Exploit gefunden wurde, der Windows 7-Maschinen per RDP angreift, um Crypto-Miner zu installieren.

Vulnx v2.0: Schwachstellen in CMS aufspüren

Vulnx v2.0 ist ein intelligenter Bot Auto Shell Injector, der Schwachstellen in mehreren CMS-Typen (WordPress , Joomla , Drupal , Prestashop …) erkennt.

Ich bin über obigen Tweet auf das Tool, welches seit 2019 verfügbar ist, gestoßen. Details sind der GitHub-Dokumentation zu entnehmen.

Forensik-Tool knackt FileVault 2

Elcomsoft hat eine neue Version seines Distributed Password Recovery Tool (DPRT) veröffentlicht. Mit dieser Version lassen sich auch mit FileVault 2 verschlüsselte Apple-File-System(APFS)-Medien knacken lassen sollen. heise hat die Details in diesem Artikel zusammen getragen.

Schwachstellen in Nagios XI

Nagios XI ist eine Netzwerk- und Host-Überwachungssoftware, die in Firmenumgebungen zum Einsatz kommt. Sicherheitsforscher von IBM haben drei Schwachstellen in Nagios XI entdeckt, die bisher ungepatcht sind und mit der Risikostufe mittel kategorisiert werden. heise hat die Details in diesem Artikel zusammen getragen.

Das SaaS-Sicherheitsproblem

Software as a Service (SaaS) ist der letzte Schrei in vielen Bereichen. Schnell wird eine App hin gezimmert und an der IT vorbei eingesetzt. SaaS erweist sich zunehmend als Sicherheitsproblem. The Hacker News beleuchtet das Thema in diesem Beitrag und zeigt Wege zur Abhilfe.

Dell und das BIOS-Sicherheitstool

Kürzlich hat Dell ein Tool (Dell SafeBIOS Events & Indicators of Attack) zur Überprüfung der BIOS-Sicherheit und Erkennung von Angriffen veröffentlicht. heise hatte in diesem Artikel und hier berichtet. Das Tool gibt es nur für Geschäftskunden über den Dell-Support – von daher konnte ich mir bisher keinen Eindruck von machen, was das Teil taugt.

Über obigen Tweet bin ich auf diesen Blog-Beitrag gestoßen. Ganz interessant die Lektüre, da ist es jemandem gelungen, einen Download für das Dell-Tool im Internet aufzuspüren. Nach dessen Ausführung auf einem Dell Optiplex 7070 hat das Teil 'alles in Ordnung gemeldet'. Und dann beschreibt der Autor des Beitrags einige Unzulänglichkeiten:

  • Es wurde nicht mitgeteilt, dass es ein Upgrade der Intel Management Engine gab, das als dringend gekennzeichnet war.
  • Es wurde nicht mitgeteilt, dass es ein BIOS-Upgrade gab, das Dell als dringend gekennzeichnet hatte.

Zudem scheint das Dell-Tool Dinge nicht erkennt, die eine ähnliche Funktionalität wie das Lenovo-Rootkit aus dem Jahr 2015 haben, schreibt der Autor. Möglicherweise ist das Dell-Tool daher unter dem Label 'Schlangenöl' zu verorten.

Datenleck bei Fortum Polen

Sicherheitsforscher Bob Diachenko weist in folgendem Tweet auf ein größeres Datenleck beim polnischen Energieversorger Fortum hin.

Mehr als 3 Millionen Datensätze mit individuellen Kundendaten sind wohl in einem Datenleck öffentlich geworden. Details will er in einem Bericht nachliefern.

Nintendo-Konten werden gehackt

Catalin Cimpanu weist in diesem ZDNet-Beitrag und einer Serie von Tweets darauf hin, dass seit Mitte März 2020 wohl Konten von Nintendo-Kunden gehackt werden. Eine Hacker nutzt dann die Konten, um Fortnite-Guthaben zu kaufen. Dieses Guthaben gibt er dann an zahlende 'Kunden' weiter. Zu leichte Passwörter können wohl keine Ursache für die Hacks sein, da einige Betroffene komplexe Kennwörter und Passwortmanager verwenden. Vorige Woche gab es einen Peak – und die Berichte sagen, dass PayPal-Konten und die verlinkten Zahlungsquellen zum Bezahlen der Fortnite-Guthaben genutzt werden. Nintendo weiß um diese Hacks, hat aber noch nichts offizielles verlauten lassen.

StarBleed-Schwachstelle in FPGAs

Field Programmable Arrays (FPGAs) des Herstellers Xilinx der Varianten Virtex-6 und der Serie 7 werden in diversen Geräten als Prozessoren zur Realisierung von Logikfunktionen verwendet. Sicherheitsforscher der Ruhr-Uni Bochum und des Max-Planck-Instituts für Cybersicherheit und Privatsphäre haben eine kritische Sicherheitslücke in programmierbaren Prozessoren (FPGAs) dieser Firma gefunden. Den Forschern ist es gelungen, die Bitstream-Verschlüsselung zur Konfigurierung der FPGAs aufzubrechen. Damit ließe sich die interne Konfiguration eines FPGA entschlüsseln und ggf. manipulieren – wobei aber ein Zugriff auf die Chips erforderlich ist. heise hat in diesem Artikel einige Details zu diesem Thema zusammen getragen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.