Datenleck legt Daten registrierter Virustotal-Kunden offen

Sicherheit (Pexels, allgemeine Nutzung)[English]Der seit 2012 von Google betriebene Web-Service virustotal.com (Gründung der spanischen Firma Hispasec Sistemas, Übernahme durch Google) ist bei Sicherheitsforschern und Firmen beliebt, um verdächtige Dateien auf Schadsoftware zu überprüfen. Gewarnt wird aber, wie kritisch automatisiert auf Virustotal hochgeladene Dokumente im Hinblick auf den Datenschutz bez. Datenlecks sind, denn die Daten sind für Dritte einsehbar. Und auch eine Anmeldung bei virustotal.com ist keine gute Idee, wie ein Datenleck zeigt. Dem österreichischen STANDARD ist eine Liste registrierter Kunden von virustotal.com zugegangen, die Namen von Mitarbeitern samt E-Mail-Adressen offen legen. So mancher dieser Betroffenen aus Geheimdiensten oder Firmen möchte seine Daten eher nicht öffentlich sehen. Ergänzende Informationen zum Artikel hinzugefügt.


Anzeige

Die Plattform virustotal.com weist in ihren AGB darauf hin, dass die hochgeladenen Dateien von Dritten eingesehen werden. Enthalten die Dokumente Firmeninterna oder brisantes Material, wird dieses beim Upload öffentlich. Daher ist der Dienst zwar hilfreich, birgt aber latent die Gefahr, dass bei der Nutzung etwas gewaltig schief gehen kann. Neben einer BSI-Warnung aus 2022 zeigt ein neuer Fall, was schief gehen kann.

BSI-Warnung im März 2022

Im März 2022 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Sicherheitswarnung veröffentlicht, die sich mit dem automatischen Upload von Dateien befasst. Im Dokument  Datenabfluss im Falle von Dateiprüfungen bei VirusTotal (PDF) heißt es:

VirusTotal ist ein vom Unternehmen Google Inc. betriebener kostenloser Online-Dienst, bei dem man einzelne Dateien hochladen kann, die dann online durch aktuell über 70 verschiedene Antivirenprogramme und Malwarescanner überprüft werden. Dieser Dienst wird von Privatpersonen und Unternehmen oftmals zur Prüfung von verdächtigen Dateien genutzt, um aufgrund der Vielzahl von Antivirenprogrammen verlässlichere Ergebnisse als mit nur einem Scanner zu erhalten

[…]

Während die Prüfung von Datei-Hashwerten auf VirusTotal grundsätzlich unkritisch ist, kann der Upload von verdächtigen Dateien problematisch sein: Beim Upload von verdächtigen Dateien zu Virustotal gibt man die Vertraulichkeit der hochgeladenen Dateien auf und macht diese, aufgrund der Vielzahl und Diversität der VirusTotal-Kunden mit Zugriff auf die hochgeladenen Dateien, de facto öffentlich verfügbar. Man stimmt dieser Datenweitergabe an Dritte mit den Nutzungsbedingungen auch explizit zu.

Neben den Kunden können auch alle der über 70 Antivirenhersteller eine Kopie der hochgeladenen Datei erhalten. Viele der AV-Hersteller haben ihren Sitz außerhalb der EU und verarbeiten die Daten auch außerhalb der EU. Es ist davon auszugehen, dass weltweit Institutionen hochgeladene Dateien im Rahmen von (Wirtschafts-)Spionage auswerten und Filter für Stichwörter, beispielsweise "Verschlusssache" oder "Intern", gesetzt haben, wodurch sie in Echtzeit bei einem Upload solcher Dokumente informiert werden. Oft erfolgt ein Download dieser Dokumente dann automatisiert.

Die Auswirkungen auf die Vertraulichkeit durch einen Upload und die daraus entstehenden Konsequenzen sind den Mitarbeitenden innerhalb der Institution oftmals nicht bekannt. Durch den Upload von TLP-markierten BSI-Warnungen schaden die Uploader dem Ansehen des Verteilkreises und des BSI. Das BSI muss in solchen Fällen prüfen, ob es mit betroffenen Verteilkreisen noch alle Informationen teilen kann oder zum Schutz der Vertraulichkeit von Informationen ggf. einzelne Sachverhalte, Hinweise und IOCs zurückhalten muss.

Im Dokument wurde ein Screenshot veröffentlicht, wo das BSI vermutet, dass geleakte BSI-Warnmeldungen von Empfängern der BSI-Verteilerkreises automatisiert auf virustotal.com hochgeladen werden. Gerät dann noch eine Liste mit dem BSI-Verteiler auf virustotal.com, wären die Empfänger quasi öffentlich – etwas, was man unbedingt vermeiden will/soll. Denn viele der Personen möchten nicht öffentlich mit ihrer Arbeit identifiziert werden.

Neues Leck legt virustotal-Kundenliste offen

Dem österreichischen STANDARD ist eine nur 313 Kilobyte große Datei zugegangen, die besser nie öffentlich geworden wäre. Ende Juli 2023 gelangte diese Datei wohl über ein Datenleck ins Internet. Brisant an der Datei: Diese enthält eine Liste mit 5.600 Namen von Kunden der Plattform virustotal.com, die dort registriert waren. Dazu gehören auch Mitarbeiter des US-Geheimdienstes NSA und deutscher Geheimdienste.

Wie genau die Datei öffentlich wurde (z.B. als Upload auf Virustotal), geht nicht hervor. Auf Grund der Charakteristik der Daten muss die Datei aber aus dem inneren Umfeld von virustotal.com stammen.

Der STANDARD, dem die Datei mit der Liste vorliegt, schreibt, dass diese jeweils den Name der Organisation und die E-Mail-Adresse der Mitarbeiterinnen und Mitarbeiter, die das Konto auf virustotal.com angemeldet haben, enthält.

  • 20 Konten gehören zum "Cyber Command" der USA; ebenfalls vertreten auch Nutzer des US-Justizministeriums, der amerikanischen Bundespolizei FBI und des Geheimdiensts NSA
  • Weitere Konten gehören laut STANDARD offiziellen Stellen aus den Niederlanden, Taiwan und Großbritannien
  • Aus Österreich seien Adressen aus dem Bundesministerium für Landesverteidigung und aus dem Innenministerium auf der Liste
  • Aufgeführt werden auch drei Mitarbeiter des BSI aus Deutschland – auf Golem heißt es, dass auch Mitarbeiter des Bundeskriminalamts (BKA), des Militärischen Abschirmdiensts (MAD) sowie der Bundesstelle für Fernmeldestatistik (BFSt) in der Liste enthalten seien.
  • Die Liste umfasst zudem Mitarbeiter deutscher Unternehmen: rund 30 Mitarbeiter der Deutschen Bahn, sowie weitere Mitarbeiter der Bundesbank und diverse Dax-Größen wie Allianz, BMW, Daimler und die Deutsche Telekom seien vertreten, heißt es.

Der STANDARD hat nach eigenen Angaben die Daten zusammen mit dem Spiegel (Beitrag steckt hinter einer Paywall) überprüft, diese sind wohl echt. Der Vorfall zeigt, wie kritisch Online-Aktivitäten sind, wenn die Daten über ein Leck in den Hände unbefugter Dritter gelangen. In obigem Fall besteht die Gefahr, dass die erbeuteten Daten für Cyberangriffe mittels Social Engineering missbraucht werden.

Im Artikel des STANDARD wird ein kritischer IT-Vorfall vom Deutsche Verband für Maschinenbauer (VDMA) erwähnt, wo ein Virustotal-Upload einen Link auf ein Portal des Innenministeriums von Rheinland-Pfalz samt Passwort offenbarte. Über diese Informationen bekam man Zugang über laufende Hackerangriffe – das Ganze sollte innerhalb des Verteilerkreises vertraulich bleiben, wurde aber so öffentlich. Dem VDMA war bis zur Anfrage der Reporter nicht bekannt, dass diese Mail mit vertraulichem Inhalt bei virustotal.com einsehbar war.

Weitere Details und Einschätzungen

Ergänzung: Recorded Future News hat in der Sache noch etwas recherchiert und einige Betroffene kontaktiert. Das Medium berichtet in diesem Artikel, dass E-Mail-Adressen von Ministerien aus Deutschland, Germany, Japan, Vereinigte Arabische Emirate, Qatar, Litauen, Israel, Türkei, Frankreich, Estland, Polen, Saudi Arabien, Kolumbien, der Teschichschen Republik, Ägypten, der Slowakei, Slowenien und der Ukraine in der Liste gesichtet wurden. Ein Google-Sprecher gab folgendes zu Protokoll:


Anzeige

Wir sind uns bewusst, dass einer unserer Mitarbeiter unbeabsichtigt ein kleines Segment von Kundengruppenadministrator-E-Mails und Organisationsnamen auf der VirusTotal-Plattform verbreitet hat.

Das britische Verteidigungsministerium (auf das fast die Hälfte der mit der Domäne gov[.uk] verknüpften E-Mails entfallen) wird so zitiert:

Uns ist bekannt, dass eine Drittpartei in die Daten von Mitarbeitern des Verteidigungsministeriums eingedrungen ist. Keine der Daten war sensibel und alle Angaben wurden inzwischen entfernt.

Das Nationale Zentrum für Cybersicherheit (National Cyber Security Centre) ist sich des Lecks bewusst und ist nicht besorgt über dessen mögliche Auswirkungen. Ein Sprecher der Nuclear Decommissioning Authority (NDA) sagte gegenüber Recorded Future News: "Die E-Mail-Adressen der Mitarbeiter können aus verschiedenen Gründen öffentlich zugänglich sein. Deshalb schulen wir unsere Mitarbeiter ständig und sensibilisieren sie für die Risiken, die mit Phishing-E-Mails verbunden sind."

Die Rentenaufsichtsbehörde (Großbritannien) erklärte gegenüber Recorded Future News: "Wir nehmen die Cybersicherheit sehr ernst und haben Kontrollen eingerichtet, um zu verhindern, dass bösartige E-Mails in unsere Systeme eindringen."

Übrigens zeigt die durchgesickerte Liste, dass einige Militärangehörige persönliche Konten bei E-Mail-Anbietern wie Gmail, Hotmail und Yahoo nutzen. Die betroffenen Organisationen stufen den Vorfall daher als wenig riskant ein.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Antworten zu Datenleck legt Daten registrierter Virustotal-Kunden offen

  1. Pablo sagt:

    Titel – nochmals kritisch lesen. Danke.

  2. pau1 sagt:

    Har Har.
    Hier hat irgendein Witzbold seine WLAN SSID
    "Bundesnetzagentur Scanner Abt. 037" genannt…
    die sind auch überall.

    Sorry, ich kann mir nicht vorstellen das die Schlapphüte sich wirklich mit ihren echten dienstlichen Adressen anmelden.
    Das werden solche Witzbolde sein die da Phantasie Addresseb eingetragen haben, weil es wurscht ist, was da als Adresse steht.

    • Günter Born sagt:

      Text sagt; Zitat "Der STANDARD hat nach eigenen Angaben die Daten zusammen mit dem Spiegel (…) überprüft, diese sind wohl echt."

      • Pau1 sagt:

        ja, sie haben geguckt ob es diese Namen bei LinkedIn gibt
        und das als Beleg für die Echtheit genommen… unglaublich.
        So las ich es bei Heise.
        Vielleicht habe ich das auch missverstanden und niemand anderes könnte die Daten bei linkedin genommen haben und bei Virustotal eingetragen haben? Warum sollte er das auch tun?
        Einfach weil er es lustig fand und seine eigenen Daten da nicht angeben wollte, was zu verstehen ist?
        Und wer seine Daten bei LinkedIn hat, sucht eh einen neuen Job…

        Jedenfalls ich würde das den beiden IT-Fachmagazinen Spiegel und und Standard zutrauen, das die das so recheriert haben…
        Nichts genaueres weiß Mann

        Natürlich ist das das ein Scandal.
        Nicht nur das die Daten vervielfältigt worden sind, sondern dass das solche Details gespeichert wurden.

        BTW:
        Ich würde niemals meine Firmen Email Adresse oder meinen realen Namen bei so etwas angegeben.
        Das Mitarbeiter des BSi oder so so dämlich sein sollen mag ich mir nicht vorstellen.

        Anyway
        es war ein sehr gute und richtige Erinnerung daran!
        Danke

        Wenn etwas kostenlos ist, bist du die Ware und
        zahlst mit Deinen Daten.

    • Pau1 sagt:

      bei Golem lese ich:

      "Selbst Mitarbeiter deutscher Behörden wie dem Bundeskriminalamt (BKA), dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Militärischen Abschirmdienst (MAD) sowie der Bundesstelle für Fernmeldestatistik (BFSt) seien bei Virustotal registriert. Und auch deutsche Konzerne wie BMW, Allianz, Deutsche Bahn, Mercedes-Benz und die Deutsche Telekom stehen auf der dem Spiegel vorliegenden Kundenliste."

      Wenn das nicht, wie ich vermute/hoffe, alles Fakes sind, frage besorgt:
      Sind dle als Baby mit dem Klammerbeutel gepudert worden?
      Wie kommen solche Leute an solche Position?
      Also, ne. Wenn das alles echte Accounts sind, und nicht nur irgendwo im Netz gegrappte Daten, dann verliere ich gerade den Glauben an solche Organisationen.

      Mal sehen ob es ein Statement vom BSI gibt,
      Das (BFSt) ist doch seit Snowden geschlossen worden, weil man sich fragte, was machen die da eigentlich?

      Das kann doch nicht echt sein?

    • Bernd das Brot sagt:

      Das sind deutsche Behörden. Selbstverständlich geben die ihre authentischen Adressen an. Muss schließlich alles seine bürokratische Ordnung haben. Selbst für Geheimdienste. Und gehackt wird niemand, die Daten sind also sicher für alle Zeit und Ewigkeit.

  3. pau1 sagt:

    aber stimmt 100 pro.
    man muß manuell das halbautomatische hochladen von .PDF aus downloads deaktivieren.
    Und es kann trotzdem passieren.
    Ich spreche da aus Erfahrung:)

    Virus total lebt ja vor allem, damit
    Virenforscher Material bekommen und auch sehen wi ein Virus regional verbreitet ist.
    Natürlich ist damit auch Industrie-Spionage möglich.
    Man lädt ja seine neue Software erstmal hoch um sicherzustellen dass die eignen Kunden keine False Positives bekommen, wenn sie die neue, daher unbekannte Software (Lieferketten Angriff) erstmal selbst auf VT testen..

  4. Ralph D. Kärner sagt:

    Es ist schon interessant, dass es wirklich _jedes_ der großen IT-Unternehmen verkackt. Und zwar ausnahmslos. Ist das ein Gen, oder sind die bloß alle maßlos arrogant, oder haben die schlicht Fachkräftemangel?

    • M.D. sagt:

      Die Systeme sind schlicht zu komplex geworden, als dass sie noch fehlerfrei sein können. Selbst die Hersteller sind nicht mehr Herr der Lage, zumal ja auch die einzelnen Betreuer alias Entwickler reihenweise gewechselt wurden oder haben.

      Und wenn ich jetzt an KI denke, wird mir eher etwas flau.

    • Heiko A. sagt:

      M.D. hat es bereits geschrieben: Die Komplexität heutiger IT-Infrastrukturen ist enorm. Und was bei der Infrastruktur beginnt, geht bei Systemen und Applikationen nahtlos weiter. Die Lösungen sind entweder unterdimensioniert und damit nicht zu gebrauchen oder überdimensioniert und damit nicht mehr händelbar. Lösungen dazwischen? Viel Spaß beim Suchen.

      Nehmen wir die "Azure"-Infrastruktur von Microsoft. Nicht mal jahrezehntealte Partner blicken da noch durch. Sie haben selbst kaum einen Überblick über die Lizenzbedingungen. Für die Microsoft-Dienste gibt es zahlreiche "Administration Center". Dann braucht man sich nur Microsoft Windows oder Microsoft Office anschauen. Windows wurde über die letzten Jahre stark aufgebläht. Es beschränkt sich nicht mehr auf das, was es sein soll, nämlich ein Betriebssystem.

      Und dann fließen in Systeme und Applikationen auch noch Schnittstellen von Dritten ein, deren Quellcode in vielen Fällen nicht mal deren Entwicklerinnen und Entwickler überblicken. Wie sollen dann diejenigen die Sicherheit gewährleisten, die etwaige API in ihre Produkte / Dienste implementieren?

      • 1ST1 sagt:

        Naja, wenn ein "Betriebssystem" nur aus Kernel besteht und alles drumherum schon nicht mehr dazu gehört, sehen wir den Wildwuchs bei "Linux", eine nicht mehr zählbare Anzahl Distributionen, die nicht mehr uneingeschränkt zueinander kompatibel sind. Kann man momentan rund um die ganzen Clones und Forks von Redhat beobachten Siehe speziell Alma und die neue REL-kompatible Distri von SuSE.

        Ist das besser?

        • Heiko A. sagt:

          Nun ist "Linux" Open-Source und nicht wie Microsoft Windows "Closed Source". Und letztendlich bedeutet Open Source auch die Möglichkeit, die Defizite eines Projektes zu kompensieren, indem man mit dem Fork etwas auf die Beine stellt, dass idealerweise besser ist.

          Aber ja, durch die unzähligen Forks steht sich die Community rund um Linux gewissermaßen auch selbst im Weg. Aber es gibt auch kommerzielle Linux-Projekte. So ist es nicht.

  5. Pau1 sagt:

    golem verlinkt auf einen Spiegel Artikel, der nicht hinter einer Paywall ist.

    Neben einer Einführung was virustotal überhaupt ist… steht viel erheiiterndes zu lesen:

    "Dass die Liste authentisch ist, konnte der SPIEGEL verifizieren. So tauchen Namen von Behördenmitarbeitern auf, manche Betroffene sind auch auf LinkedIn zu finden"

    und die anderen Namen waren immerhin auf den Webseiten der Behörden zu finden?
    Na dann ist das natürlich authentisch!

    Es stehen da nur die "Namen". Die muss deren Besitzer dort nicht selbst eingetragen haben.

    mal sehen wie lange das noch unter dem Link beim Spiegel zu lesen ist….

    https://www.spiegel.de/netzwelt/web/virustotal-datenleck-offenbart-kunden-der-google-sicherheitsplattform

    ach, nett, vom Spiegel. Mit individuellem Schnüffel Tag(entfernt)
    Das macht so richtig sympathisch.
    Immerhin kein Paywall. (zumindest mit der URL via golem.)

  6. Pau1 sagt:

    Auch lustig, das nach Werten wie "Verschlusssache" gescannt werden soll.
    Ich würde einfach alles was .PDF .TXT .DOC hat ziehen.
    ich weiß doch nicht wozu ich es morgen brauchen könnte.
    Zudem:
    Bei manchen Unternehmen steht auf allen Dokumenten "Vertraulich".
    Einfach um die Mitarbeiter zu erinnern dass jede Information in falschen Händen zur Waffe werden kann. Und sei es nur das Dankeschön-Plakat für reale Schwarze Brett für die Glückwünsche für die tatsächliche Geburt des Babies…

    Ich glaub ich bin falschen Film.

  7. Pau1 sagt:

    Günter, bitte sag das das Satire ist und ich reingefallen bin.
    Bitte

    "wo ein Virustotal-Upload einen Link auf ein Portal des Innenministeriums von Rheinland-Pfalz samt Passwort offenbarte. Über diese Informationen bekam man Zugang über laufende Hackerangriffe – das Ganze sollte innerhalb des Verteilerkreises vertraulich bleiben, "

    Wenn ich etwas auf einen Verteiler sende darf man nicht davon ausgehen, das es geheim bleibt.
    Das Briefgeheimnis endet beim Empfänger.
    Das war noch nie anders.

    Und ein Passwort für alle bedeutet für mich, das man verhindern möchte, das jeder chinesische russische brasilianischen Uni-Server ein Kopie für Forschungszwecken zieht

    Im Grunde muß man dem Schnarcht bei Google dankbar mal Snowden II gespielt zu haben.

  8. Pau1 sagt:

    Zur Qualität der Daten:
    Golem erwähnt
    "… Bundesstelle für Fernmeldestatistik (BFSt) seien bei Virustotal registriert. "

    Em, klar. Sicher!
    Eine Tarnorganisation meldet sich mit ihren echten Credentials an. Logo.Ist ja getarnt. Was soll da schon passieren?

    Wikipedia schreibt:
    "Die Bundesstelle für Fernmeldestatistik (BFSt) war bis 2014 eine Tarnbezeichnung für Außenstellen des Bundesnachrichtendienstes (BND). "

    Das unter den Daten auch wirklich echte sind wird schon sein,
    zumal Google den leak ja bestätigt hat.
    Aber man wird diese nicht mit Real Namen im Netz finden…
    Im Grunde müsste man alle Namen auf der Liste die es auch im Netz gibt streichen, und nicht etwa deshalb als "echt" betrachten.

    Ich kann mir eigentlich auch schlecht vorstellen dass z.B. BMW da Daten hoch geladen haben soll. Das wäre bei deren sonstigen extremen, super paranoiden Sicherheitsmaßnahmen grotesk.

  9. Pau1 sagt:

    ja, kann sein. sorry
    gehe entweder über den von golem da hin
    oder frag Google.
    Der Spiegel scheint jeden Link zu individualisieren.
    Vermutlich komme ich darauf weil ich vom Ausland zu kommen scheine.

    Ich bekomme bei Golem diesen Link

    w.spiegel.de/netzwelt/web/virustotal-datenleck-offenbart-kunden-der-google-sicherheitsplattform-a-abc16326-ddff-4a11-b149-d96be7f3bdbd

    Wenn Du drauf bist wird sich der Gnutz.Anteil (der Buchstaben Salat am Ende ändern.
    Das hat man Ende der 90er mal erfunden…

  10. Pau1 sagt:

    Man kann sich bei VT kostenlos per Formular anmelden.
    Das sieht so aus als würde man keine Verifizierung der E-Mail brauchen um da mitdiskutieren zu können.
    Es sitzt da nur ein Passwort vor.
    Es muss ja alles schnell und einfach gehen und es ist verboten mehrere Accounts Anzulegen. Jawoll. Verboten!

    Dann kann man sich über eine Email Adresse für einen Prämium Zugang anmelden und dort dann alles SIGINTen was jemals hochgeladen wurde…
    Wie genau Google oder der Vorbesitzer die Authentizität sicher gestellt hat und was es kostet steht da nirgends.
    Heute würde man das wohl mit einem Zertifikat oder einen Text REC im DNS regeln, wenn man wirklich interessiert wäre nur echte Adressen zu haben.
    Wie gesagt, manche Leute wollen das aus gutem Grund nicht.
    Die stehen dann aber auch nicht in LinkedIn…
    Aber der Betreiber würde diese vergällen, wenn die da ein Zertifikat hinterlegen müssten. Das müsste ja gefälscht sein.
    Wer das kann, der würde das auf den eigenen Namen machen?
    So etwas wie BFSt klingt doch viel seriöser.

    Was war noch mal passiert?
    5300 Adressen von möglichen Kunden von VT waren öffentlich.
    Und?

    Es ist niemals die Frage "ob" Daten gestohlen werden,
    nur wann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.