Sicherheitslücken & Datenschutzvorfälle: Fluggesellschaft, Jobbörsen, Personaldienstleister und mehr

Momentan rappelt es mal wieder gewaltig in Sachen Datenlecks bei Firmen. Eine türkische Billigfluglinie hat seine AWS-Server offen stehen gelassen, so dass 6,5 Terabyte an Daten abziehbar waren. Bei der perbit Software GmbH gab es einen IT-Sicherheitsvorfall und jetzt werden Daten von Firmen, die Kunden im Bereich Personaldienstleistungen sind, öffentlich. Die AMS-Group könnte Opfer eines Ransomware-Angriffs geworden sein – denn es werden Daten im Darknet geleaked. In Italien waren Daten einer Jobbörse öffentlich einsehbar – und eine Studie fand heraus, dass 3,6 Millionen SQL-Server direkt per Internet erreichbar sind. Zudem sind 47.000 WordPress Plugins laut einer Untersuchung mit Malware verseucht und haben 26.000 WordPress-Seiten infiziert. Cisco Talos hat acht Schwachstellen (zwei kritisch) in einer Open Automation Software gefunden. Mal wieder ein Überblick in Sicherheits- und Datenschutz-Abgründe.

IT-Sicherheitsvorfall bei der perbit Software GmbH

Es war eine kurze persönliche Nachricht, die mich die Nacht von einem Betroffenen auf Facebook erreicht hat. Ich wurde auf einen IT-Sicherheitsvorfall bei der perbit Software GmbH hingewiesen – war an mir vorbei gegangen.

Die perbit Software GmbH weist sich als "dein Partner für HR von morgen" aus und bietet (laut eigener Aussage) seit fast 40 Jahren praxisgerechte IT-Unterstützung für effiziente, wertschöpfungsorientierte Personalarbeit in einem TÜV-zertifizierten Rechenzentrum in Berlin. perbit speichert, so die Aussage, unter Berücksichtigung der geltenden Datenschutzbestimmungen auf seinen Servern unter anderem Daten von Personen, die sich bei den Kunden beworben haben, sowie Daten von Mitarbeitenden von perbit-Kunden. Von der perbit Software GmbH gab es zum 18. Mai 2022 diese Pressemitteilung, in dem ein Cyber-Angriff mit Ransomware eingestanden wurde:

Am 7. April 2022 ereignete sich ein Cyber-Angriff auf die von perbit betriebenen externen Systeme. Das Ausmaß des Angriffes wird derzeit von professionellen IT-Forensikern sowie den Strafverfolgungsbehörden untersucht. perbit hält direkten Kontakt zu potenziell betroffenen Kunden und informiert sie über den aktuellen Stand der Ermittlungen. perbit nimmt diesen Vorfall und die Sicherheit der betroffenen Daten sehr ernst und hat zudem selbst die zuständige Datenschutzaufsichtsbehörde von dem Vorfall frühzeitig und vorsorglich in Kenntnis gesetzt und die Ermittlungsbehörden informiert sowie Strafanzeige gestellt. Auf die Erpressungsforderungen wurde selbstverständlich nicht eingegangen.

In der Pressemitteilung bestätigt die perbit Software GmbH, dass auch Daten von BewerberInnen und MitarbeiterInnen der eigenen Kunden geleakt wurden. Die Angreifer haben, laut Informationen des Unternehmens, zwischenzeitlich damit begonnen, betrügerische E-Mails (Phishing-Mails) an die in den perbit Datenbanken hinterlegten E-Mail-Adressen zu versenden. Wer eine solche E-Mail bekommen hat, sollte darauf nicht reagieren, keine Links oder Anhänge öffnen und die E-Mail unverzüglich löschen. Bitte haben Sie Verständnis, dass wir aufgrund der Vielzahl der Nachfragen, eine Priorisierung der Beantwortung vornehmen müssen und es somit zu Verzögerungen bei der Beantwortung kommen kann.

Inzwischen ist klar, dass Mitarbeiter hunderter deutscher Unternehmen, die Kunden bei der perbit Software GmbH betroffen sind. csoonline.com schreibt hier, dass zu den Kunden der HR-Software (Personalabteilung) und Dienste Unternehmen aller Branchen, wie die Industrie und Handelskammer (IHK) und den Badischen Gemeinde-Versicherungs-Verband (BGV) gehören. Zu letzterem Kunden hatte ich was im Blog-Beitrag Cyberangriffe: Rathaus Bissingen, Landesregierung Kärnten, BGV-Versicherung geschrieben. Dort hieß es, dass "ein Dienstleister" angegriffen worden sei und 770 BGV-Mitarbeiter, genauso wie ehemalige Mitarbeiter und Mitarbeiterinnen und Bewerber betroffen seien. Inzwischen gibt es diese Pressemitteilung, dass der Dienstleister perbit gehackt wurde.

Da der Dienstleister wohl nicht an die Ransomware-Hintermänner gezahlt hat, werden die beim Ransomware-Angriff erbeuteten Daten im Darknet veröffentlicht – seit einigen Tagen gibt es Meldungen wie hier dazu. Die veröffentlichten Datensätze enthalten hochsensible Kundendaten wie ontodaten, private Telefonnummern, Lohn- und Gehaltsabrechnungen sowie Sozialversicherungsnummern. Unternehmen, die Software bzw. Dienstleistungen von perbit benutzt haben, wird wird empfohlen, ihre Mitarbeitenden über den Vorfall zu informieren und vor einem möglichen Datenmissbrauch zu warnen. Der obige Facebook-Kontakt schrieb mir im Nachgang, dass er am 1.6.2022 eine solche Mail erhalten habe.

Laut diesem Tweet werden von der AlphV\BlackCat Ransomware-Gruppe gerade auch Daten der deutschen Leasingfirma AMS-Gruppe mit Sitz in Berlin geleaked. Ich habe mir aber erspart, die Daten aus dem Darknet zu ziehen und dort nachzuschauen, was veröffentlicht wird. Bei einer kurzen Recherche habe ich keine Meldung über einen Cyberangriff auf diese Gruppe gefunden.

Datenleck bei italienischer Jobbörse Tuoagente

Sicherheitsforscher vom CyberNews-Team haben eine offene Datenbank bei Tuoagente, einer italienischen Agentur für Arbeitssuche mit Hauptsitz in Rom, gefunden. Über die Datenbank waren die persönlichen Daten von mehr als 100.000 Personen für die Öffentlichkeit zugänglich. Das Unternehmen schreibt, dass man mit 106.902 Vertriebsmitarbeitern zusammen arbeite, was der Anzahl der zugänglichen Profile in der Datenbank entsprach. , die unser Team entdeckte – was bedeutet, dass alle Profile auf Tuoagente offengelegt wurden.

Der zugängliche Datensatz enthielt personenbezogene Daten (PII) und war für jedermann zugänglich. Zusammen mit den IP-Adressen enthält der 1,5 GB große Datensatz eine Vielzahl von Daten, die bei den Arbeitsagenturen eingereicht wurden, wie Lebensläufe, Namen, E-Mails, Telefonnummern, Arbeitsverläufe und Regionen in Italien, in denen die Vermittler wohnen. Von den zugänglichen persönlichen Profilen waren 40.136 mit Lebensläufen versehen, während 49.214 eine Telefonnummer enthielten. Alle Profile enthielten E-Mail-Adressen und Namen. Die Details lassen sich in diesem Blog-Beitrag nachlesen.

Datenleck bei Pegasus Airlines

Pegasus Airlines ist eine türkische Billig-Fluglinie mit Sitz in Istanbul, die im Dezember 1989 von der irischen Aer Lingus gemeinsam mit den türkischen Unternehmen Silkar Holding und Net Holding gegründet wurde. Die Linie bot auch Flüge nach Deutschland an und es dürften einige Mitbürger mit dieser Fluglinie unterwegs gewesen sein.

Laut obigem Tweet haben die Datenbank in einem AWS S3 Bucket wohl nicht abgesichert, so dass 6,5 TB zugreifbar waren. Hackread hat es hier aufgegriffen – entdeckt wurde das Ganze bereits am 28. Februar 2022 durch ein Team von Sicherheitsforschern bei SafetyDetectives. Die haben dies in diesem Blog-Beitrag öffentlich gemacht. Die Sicherheitsforscher schreiben, dass in dem ungeschützten AWS S3-Bucket rund 23 Millionen Dokumente gespeichert waren (entspricht einer Datenmenge von etwa 6,5 TB).

Zu den offengelegten Daten gehörten mehr als 3 Millionen sensible Flugdatendateien, darunter Flugkarten/Revisionen, Details zu Vorflugkontrollen, Versicherungsdokumente und Informationen zum Schichtdienst der Besatzung. Darüber hinaus enthielten mehr als 1,6 Millionen Dateien PII (personenbezogene Daten) des Flugpersonals. Dazu gehörten ihre Fotos und Unterschriften.

YODA: 47.000 WordPress-Plugins mit Malware

Viele Websites verwenden WordPress als Content Management Systeme (CMS) und die Betreiber bzw. Designer setzen dabei zusätzlich auf Plugins, um zusätzliche Funktionalitäten zu bekommen. Plugins stellen aber ein bevorzugtes Ziel für Cyberkriminelle dar, die Entwicklern abgekauft und dann mit Malware versehen in die Plugin-Repositories eingestellt werden. In meinem Blog versuche ich daher mit einem minimalen Set an Plugins auszukommen, die zudem überwacht und kontinuierlich aktualisiert werden.

Sicherheitsforscher haben nun ein Open-Source-Framework mit dem Namen YODA entwickelt, mit dem sich WordPress-Plugins automatisiert auf schädliche Inhalte untersuchen lassen, wobei auch die Herkunft der Plugins ermittelt wird. Über obigem Tweet und diesen Artikel auf The Hacker News bin ich auf die Usenix-Veröffentlichung der Sicherheitsforscher gestoßen.

Im Rahmen einer Forschungsarbeit wurde die Entwicklung von CMS-Plugins auf über 400.000 produktiven Webservern bis zum Jahr 2012 untersucht. YODA deckte 47.337 bösartige Plugins auf 24.931 Websites auf. Davon wurden 41,5.000 Dollar für 3.685 bösartige Plugins ausgegeben, die auf legitimen Plugin-Marktplätzen verkauft wurden. Durch gefälschte Plugins wurden Entwickler um Einnahmen in Höhe von 228.000 Dollar betrogen. Bei Angriffen nach der Bereitstellung wurden zuvor harmlose Plugins im Wert von 834.000 Dollar mit Malware infiziert. Über 94 % dieser bösartigen Plugins sind heute noch aktiv.

MySQL-Server per Internet erreichbar

Noch a shocking number: Laut nachfolgendem Tweet und diesem Artikel haben Sicherheitsforscher von Shadowserver die unglaubliche Zahl von 3,6 Millionen MySQL-Servern gefunden, die per Internet erreichbar sind.

Diese sind natürlich ein nettes Ziel für Angreifer, die auf schlecht abgesicherte oder offene MySQL-Server zielen. Die Forscher empfehlen, die Server aus dem Internet zu entfernen, um die Angriffsfläche von außen zu verringern.

Schwachstellen in Open Automation Software

Sicherheitsforscher von Cisco Talos haben acht Schwachstellen (davon zwei kritisch) in einer Open Automation Software gefunden. Ich bin über nachfolgenden Tweet auf den Threadpost-Artikel Critical Flaws in Popular ICS Platform Can Trigger RCE gestoßen.

Der Sicherheitsforscher Jared Rittle von Cisco Talos entdeckte insgesamt acht Schwachstellen – zwei davon sind kritisch – in der Open Automation Software (OAS)-Plattform. Die schwerwiegendste Schwachtelle ermöglicht es einem Angreifer, beliebigen Code auf einem Zielrechner auszuführen, schreibt der Entdecker in diesem Blog-Beitrag. Die Schwachstellen betreffen die Open Automation Software OAS Platform, Version 16.00.0112. Patches zum Schließen der Schwachstelle sind verfügbar.