'Deloitte'-Seite 'Test your Hacker IQ' legt Benutzerdaten offen

[English]Das ist wohl ein wenige schief gelaufen. 2015 wurde eine (Deloitte zugeschriebene) Webseite 'Test your Hacker IQ' online gestellt. Dort konnte man ein Quiz zu seinen Kenntnissen über Hackertechniken durchführen. Die Seite blieb online, und ein Sicherheitsforscher war jetzt in der Lage, eine YAML-Konfigurationsdatei abzurufen, die die Zugangsdaten für den Zugriff auf die benutzte mySQL-Datenbank im Klartext enthielt. Kleine Freitags-Geschichte über eine Marketing-Aktion, die den Leuten fünf Jahre später auf die Füße gefallen ist.


Anzeige

Es gibt den Spruch 'Dümmer als die Polizei erlaubt', der mir durch den Kopf ging (und natürlich das 'hätte dir auch passieren können', niemand ist ohne Fehler). Ich bin die Tage auf Twitter auf diesen lustigen Sachverhalt aufmerksam geworden, den The Register auf dieser Seite öffentlich machte. Dachte, das möchte ich euch nicht vorenthalten.

Deloitte 'Test your Hacker IQ' Datenleck
(Deloitte 'Test your Hacker IQ' Datenleck)

Wer ist Deloitte?

Deloitte ist ein internationales Unternehmen der Wirtschaftsbranche und erbringt Dienstleistungen in den Bereichen Wirtschaftsprüfung, Risikoberatung (Risk Advisory), Steuerberatung, Finanzberatung (Financial Advisory) und Consulting für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern und rund 312.000 Mitarbeiter erzielte Deloitte im Geschäftsjahr 2018/2019 einen Umsatz von 46,2 Milliarden US-Dollar.

Wenn Marketing schief läuft

Irgend jemand ist dann bei Deloitte auf die Idee gekommen, eine Webseite 'Test your Hacker IQ' aufsetzen und online stellen zu lassen. Auf der Webseite konnten Nutzer ein Quiz durchführen und ihr Wissen um Hacker-Techniken prüfen. Die Website bat Besucher einen Benutzernamen eingeben. Anschließend stellt sie eine Reihe von Multiple-Choice-Fragen zu Techniken, die von Hackern eingesetzt werden, um an Unternehmensinformationen zu gelangen.


Anzeige

Was etwas störte: Die Seite wurde unter der unsicheren HTTP-URL *http://deloittehackeriq.com/ betrieben – ist irgendwie suboptimal, wenn man irgend etwas in Sachen Sicherheitstest macht. Aber egal. Offenbar umfasste die Seite auch keine Fragen in Richtung 'wie kommen Hacker an Zugangsdaten von Webseiten'. Und in dieser Tradition konnte der Sicherheitsforscher Tillie Kottmann eine YAML-Konfigurationsdatei abzurufen, die die Zugangsdaten für den Zugriff auf die benutzte mySQL-Datenbank im Klartext enthielt.

mySQL-Datenbank-Zugang im Klartext

Der in der Schweiz ansässige  IT-Berater und Entwickler, Tillie Kottmann, ist kein Unbekannter, hatte im Mai 2020 doch das Git-Repository-Leak bei Mercedes offen gelegt (siehe mein Blog-Beitrag Sicherheitsvorfall: Mercedes OLU-Software abgreifbar). Kottmann hatte zudem ein Leak bei Intel mit interner Dokumentation öffentlich gemacht (siehe mein Blog-Beitrag Daten von LG, Xeros und Intel geleaked, Canon von Ransomware befallen). Kottmann scheint ein heller Kopf zu sein, denn sein Name taucht hier im Blog auch im Zusammenhang mit einem Rätsel der Google I/O 2019 auf, was er ziemlich schnell gelöst hatte.

Jedenfalls stieß er durch Zufall auf die 'Test your Hacker IQ'-Seite und entdeckte dann am Mittwoch die YAML-Konfigurationsdatei, die er auf der Webseite abrufen konnte. Wie vermutet enthielt , diese Datei die Zugangsdaten für den Zugriff auf die benutzte mySQL-Datenbank im Klartext enthielt. Kottmann fragte dann auf Twitter bei Deloitte nach, wie sein Hacker-IQ wohl zu bewerten sei.

hey @Deloitte, what exactly is my hacker IQ now? pic.twitter.com/Bqv25kdDsU

— Tillie Kottmann (@antiproprietary) November 4, 2020

Die Jungs auf Twitter sind leider etwas verstrahlt, kann man nicht anders sagen, denn der obige Tweet ist inzwischen gelöscht, da er gegen die Twitter-Regeln verstoßen habe. Das Twitter-Konto @deletescape ist von Twitter gesperrt worden.

The Register schreibt in Bezug auf Kottmann, dass die Domain deloittehackeriq.com 2015 von Tank Design, einem in Massachusetts ansässigen Unternehmen für digitales Marketing, registriert wurde. Die Website enthält einen Urheberrechtshinweis Deloitte Development LLC mit dem Datum von 2015. Kottmann gab gegenüber The Register an, dass das letzte Commit zum .git-Repo im Jahr 2017 erfolgte. Es sei auch nicht klar, wie aktiv die Website genutzt wird.

Die Website wurde erstmals 2018 von der Wayback Machine des Internetarchivs erfasst. Gehostet wurde die Quiz-Seite auf einem Ubuntu Linux 14.04-System, wobei diese Linux-Version seit April 2019 keine Sicherheitspatches mehr erhält und potenziell für 11 bekannte Fehler anfällig ist. Inzwischen wurde die Webseite abgeschaltet.

Deloitte: Wir haben nichts damit zu tun

In einer Nachricht an The Register, die nach dem Erscheinen des Artikels zuging, distanzierte sich ein Sprecher von Deloitte von der jetzt entfernten Hacking-Contest-Website:

Uns ist ein Vorfall bekannt, bei dem es um den unbefugten Zugriff auf ein interaktives Spiel/Website ging, das für eine Cybersicherheitsveranstaltung im Jahr 2015 entwickelt wurde. Die Plattform wird von einem Drittanbieter gehostet und unterscheidet sich von jedem anderen Deloitte-System; es gibt keine Auswirkungen auf andere Deloitte-Systeme.

Die Website wird seit 2015 nicht mehr aktiv genutzt und ist jetzt abgeschaltet worden. Wir bleiben wachsam bei der Beurteilung dieses Vorfalls und anderer potentieller Cyber-Bedrohungen. Wir sind fest entschlossen, eine Cyber-Abwehr aufrechtzuerhalten, die sich an den besten Praktiken orientiert, stark in den Schutz vertraulicher Informationen zu investieren und unsere Cyber-Sicherheit ständig zu überprüfen und zu verbessern.

Kraftvolles Statement, auch bei Deloitte gilt also 'Holzauge sei wachsam' – finde ich ja jetzt spontan gut, Deloitte, die tun was. Oder wie seht ihr diese ganze Geschichte? Ja ich weiß, McMurphy hat mal wieder zugeschlagen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.