[English]Ziemliche Datenschutzpanne, die dem US National Safety Council (NSC) passiert ist. Die Vereinigung, die sich für Arbeitsschutz einsetzt, hatte eine Datenlücke, so dass fast fast 10.000 E-Mails und Passwörter seiner Mitglieder irrtümlich öffentlich per Internet zugreifbar waren. Es sind rund 2.000 Unternehmen, darunter Regierungsorganisationen und große Konzerne, betroffen.
Anzeige
Der National Safety Council (NSC) ist eine gemeinnützige Organisation für Arbeitssicherheit in den Vereinigten Staaten. Die Organisation bietet Schulungen zur Sicherheit am Arbeitsplatz und im Straßenverkehr an und hat fast 55.000 Mitglieder. Auf seiner digitalen Plattform stellt der NSC Online-Ressourcen für seine Mitglieder bereit, die in verschiedenen Unternehmen, Behörden und Bildungseinrichtungen tätig sind.
Vertrauliche Daten auf Webseite abrufbar
Das Rechercheteam von Cybernews stieß bei Scans des Internetseite des National Safety Council (NSC) auf das Problem, dass Webverzeichnisse öffentlich zugänglich und deren Inhalt von jedem Besucher, der die URLs kannte, abrufbar waren. In den öffentlich zugänglichen Verzeichnissen der Webseite fanden sich auch Dateien mit Tausenden an Anmeldedaten. Eine Sichtung der Dateien durch das Rechercheteam deckte auf, dass Zugangsdaten der Mitarbeiter von rund 2.000 Unternehmen und Regierungsstellen öffentlich abrufbar waren. Die Liste der Firmen umfasst u.a.:
- Energieversorger: Shell, BP, Exxon, Chevron
- Elektronikhersteller: Siemens, Intel, HP, Dell, Intel, IBM, AMD
- Luft- und Raumfahrtunternehmen: Boeing, Bundesluftfahrtbehörde (FAA)
- Pharmazeutische Unternehmen: Pfizer, Eli Lilly
- Autohersteller: Ford, Toyota, Volkswagen, General Motors, Rolls Royce, Tesla
- Staatliche Einrichtungen: Justizministerium (DoJ), US-Marine, FBI, Pentagon, NASA, Behörde für Arbeitssicherheit und Gesundheitsschutz (OSHA)
- Internetdienstanbieter: Verizon, Cingular, Vodafone, ATT, Sprint, Comcast
- Andere: Amazon, Home Depot, Honeywell, Coca-Cola, UPS
Das Rechercheteam geht davon aus, dass die betreffenden Firmenmitarbeiter bzw. deren Unternehmen wahrscheinlich Konten auf der Plattform besaßen, um darüber auf Schulungsmaterial zuzugreifen oder an den vom NSC organisierten Veranstaltungen teilzunehmen. Laut Cybernews war die Website der Organisation fünf Monate lang anfällig für solche Cyberangriffe. Die Details haben die Sicherheitsforscher von Cybernews in diesem Artikel veröffentlicht.
2015
Ich stelle mir gerade vor, dass ein Teil der Betroffenen die gleichen Zugangsdaten für andere Systeme, möglicherweise sogar für den VPN-Zugang zu ihren eigentlichen Unternehmen benutzen.
Dann Prost Mahlzeit!
Passwörter im Klartext zu speichern ist im Jahr 2023 eine wirkliche Meisterleistung! Das muss man sich erst mal trauen.
Die Passwörter waren wohl nicht im Klartext gespeichert.
"Exposed passwords were hashed using the SHA-512 algorithm, which is considered secure for password hashing. An additional level of security was also used – salts. However, the salts were stored together with password hashes and were only encoded using base64. This made it trivial for potential attackers to retrieve the plaintext version of the salt, subsequently easing the password cracking process."
Tja da sicherst du dein System besser als die Goldreserven in Fort Knox, hälst dein Rig sauber und up to date, Phishing & Co. lassen dich nur müde lächeln und was passiert?
Irgendeine Drecksfirma mit der du zu tun hast legt all deine Daten offen!
Da kann man eigentlich nur noch ein Navy Seal Team zu aufräumen schicken ;-P
Seit über 45 Jahre in der Branche, noch nie auf dem eigenen Rig Malware oder solche Probleme und trotzdem genau wegen solch "Drecksfirmen" 3 x nen Datenbreach!
Und so eine Vereinigung hat das Wort "Safety" in seinem Namen.
Was da wohl die Schulungsunterlagen wert sind?
Ich würde da keine Leute mehr zur Schulung hinsenden.
Wie sollen die Leute in Sicherheit schulen, wenn die die Sicherheit im eigenen Unternehmen nicht im Griff haben?
Oder ist das ein Laden, der seinen Kunden Wasser predigt und selbst Wein säuft?
Vorsicht: Arbeits- und Verkehrssicherheit und Cyber-Sicherheit sind zwei paar Schuhe. Und dass ein Dienstleister den Webserver ggf. mal offen lässt, ist schon besseren Firmen passiert – zeigen die MoveIT- und anderen Ransomware-Vorfälle bei IT- und Cybersicherheits-Unternehmen.