Wohin Daten gehen: 12 Angriffe, Hacks und Lecks

Published on January 30, 2019

Wohin Daten gehen: 12 Angriffe, Hacks und Lecks

    Facebook und Cambridge Analytica, Spectre und Meltdown Panic, falsche Nachrichten sind nur die Spitze des Eisbergs 2018. Das letzte Jahr war auch heiß auf Informationssicherheitsspezialisten und für viele Benutzer, die das Passwort schnell ändern mussten. Wir im Binary District haben eine Sammlung von 12 exemplarischen Hacks, Hacks und Datenlecks im Jahr 2018 zusammengestellt.



    Die Liste enthält Geschichten über die Verwundbarkeit, die Google+ zu gesprächige Alexa, heimtückische Kopfhörer, einen brasilianischen Verwalter ohne jegliche Hilfe, Synergien aus Fehlern auf Facebook und beispielloses DDoS-System bescherte.

    Vier Hackerangriffe


    Nur Platz oder wie man 13 Millionen Dollar verliert


    Was ist passiert. Im August 2018 führten Hacker im Verlauf von sieben Stunden mehr als 15.000 illegale Transaktionen mit Geldautomaten der Indian Cosmos Bank und am nächsten Tag mehrere große Überweisungen über SWIFT durch.

    Was ist der Grund. In der ersten Phase des Vorgangs wurden viele geklonte Bankkarten verwendet, die auf eine unbekannte Sicherheitsanfälligkeit in den Systemen eines Emittenten zurückzuführen waren. Mit ihrer Hilfe ziehen Hacker-Komplizen an Geldautomaten Bargeld ab. In der zweiten Phase wurde wahrscheinlich eine neue Version der DYEPACK-Malware angewendet, mit der Sie die Autorisierung von Überweisungen in Bankennetzwerken umgehen und Berichte über deren Ausführung ausblenden können.

    Die Details wurden nicht zu Ermittlungszwecken bekannt gegeben, der Angriff ist jedoch mit der nordkoreanischen Hacker-Gruppe APT38 verbunden, die auf SWIFT-Hacking spezialisiert ist.

    Was sind die Folgen? Die Verluste der Cosmos Bank beliefen sich auf rund 13 Millionen US-Dollar. Zwei davon waren auf einem Konto bei einer der Banken in Hongkong, der Rest - in Form von Bargeld in den Händen von "Money Mules". Das Wettrüsten zwischen SWIFT und Hackern geht weiter, und 2019 wird es sicherlich neue Berichte über Angriffe auf Banken geben.

    Facebook Pech


    Was ist passiert. Sie haben keine Zeit, um den Skandal um die Wahlen in den USA zu beruhigen, da im September 2018 bekannt wurde, dass Hacker Daten von Millionen von Facebook-Nutzern abrufen konnten.

    Was ist der Grund. Ohne die Kombination von Fehlern im Video-Downloader, die Single-Sign-On-Single-Sign-On-Technologie verwendet, und der Funktion "Anzeigen als" wäre Hacking nicht möglich gewesen . Mit ihrer Hilfe sammelten Hacker massiv die von der mobilen Anwendung generierten Token, sodass sie beim Laden von Webseiten mit Social-Networking-Modulen nicht erneut autorisiert werden müssen.

    Was sind die Folgen?Hacker erhielten Informationen über 30 Millionen Konten. Die Telefonnummern und E-Mail-Adressen, die im Profil angegebenen Daten, die Daten zu den Gerätetypen, von denen aus sich der Benutzer im sozialen Netzwerk anmeldet, die letzten 10 markierten Orte und 15 Suchanfragen sind durchgesickert.

    Token können für den Zugriff auf Netzwerkressourcen verwendet werden, bei denen die Autorisierung über Facebook vorgenommen wird. Das FBI legte keine Einzelheiten der Untersuchung offen, aber nach den verfügbaren Informationen hatten die Hacker keine Zeit, ihre Pläne umzusetzen. Nachdem die Invasion entdeckt worden war, wurde die Sicherheitslücke geschlossen und das Facebook-Team löschte die Berechtigungsmarker für die betroffenen Nutzer (und weitere 60 Millionen als Vorsichtsmaßnahme).

    Der Schaum ist groß


    Was ist passiert. Es wurde eines der größten und komplexesten Systeme des Online-Werbebetrugs entdeckt, darunter ein Netzwerk mit 10.000 gefälschten Domänen und ein Botnetz, das mehr als eine Million IP-Adressen kontrollierte. Auf dem Höhepunkt generierten Bots täglich über 3 Milliarden Werbeimpressionen.

    Was ist der Grund. Um ein Botnet zu erstellen, verwendeten Hacker Miuref- und Boaxxe-Trojaner, Angriffe gegen BGP, das Border Gateway-Protokoll, sowie mobile Anwendungen mit eingebetteten Lesezeichen. Sie entwickelten mehrere Angriffsvektoren für Werbenetzwerke und änderten sie, als sie von Google entdeckt wurden. Darüber hinaus imitierten Bots erfolgreich menschliches Verhalten durch Simulation von Mausbewegungen und zufälligen Klicks.

    Was sind die Folgen? Hacker gefunden, werden sie förmlich belastetDie finanziellen Verluste der Werbebranche sind jedoch noch nicht abzuschätzen.

    Google ruft dazu auf, auf die potenzielle Anfälligkeit von Werbenetzwerken zu achten, um Missbrauch zu vermeiden und die Erstellung und Übernahme von Industriestandards wie ads.txt zu verstärken. Das Unternehmen entfernte die an diesem Programm beteiligten Google Play-Anwendungen, die die Mechanismen der Klick-Injektion und / oder Klick-Flutung verwendeten, einschließlich einer der beliebtesten Tastaturen von Drittanbietern - Kika Keyboard mit 200.000 Installationen.

    Reddit gehackt


    Was ist passiert. Im Juni 2018 gefährdeten Hacker die Mitarbeiterkonten der Site und erhielten Zugang zu mehreren unbenannten Systemen, Reddit-Quellcodes, Dokumentation, Teilen von E-Mail-Adressen von Benutzern und alten Sicherungen.

    Was ist der Grund. Administratoren, die zur Autorisierung eines Zwei-Faktor-Authentifizierungssystems per SMS verwendet wurden. Der Angriff wurde durch Abfangen des Bestätigungscodes ausgeführt. Hacker könnten SIM-Karten duplizieren, Mitarbeiter eines Telekommunikationsbetreibers betrügen und Karten neu ausstellen oder das veraltete SS7-Protokoll angreifen.

    Was sind die Folgen? Der Zugriff auf den Quellcode der Site kann zu neuen Angriffen führen. Reddit erklärteüber die Überarbeitung der internen Regeln der Informationssicherheit und den Übergang zu 2FA-Token, wobei regelmäßig ein neuer Bestätigungscode generiert wird. Betroffene Benutzer haben Benachrichtigungen erhalten, aber wir waren erneut von der Unvollkommenheit der SMS-Authentifizierung überzeugt .

    Drei ärgerliche fakapu


    Apache Brasilianer


    Was ist passiert. 120 Millionen brasilianische Steuerzahler (rund 57% der Bevölkerung des Landes) und persönliche Informationen wie Adressen, Telefonnummern, Kreditdaten usw. waren frei zugänglich .

    Was ist der Grund dafür? Falsch konfigurierter Apache HTTP Server, dessen Administrator den Standard index.html in index.html_bkp umbenannt hat. Der Täter des Vorfalls bleibt unbekannt. Wahrscheinlich hat er einfach nicht erkannt, dass er die Verzeichnisliste für alle Dateien im Verzeichnis aktiviert hat.

    Was sind die Folgen?Die brasilianische Steueridentifikationsnummer ist erforderlich, um Bankkonten zu eröffnen, Darlehen zu erhalten und juristische Personen zu erhalten. Es ist ein bisschen Social Engineering - und aus solchen Daten wird leichtes Geld. Wahrscheinlich wird die Basis bald im Darknet verkauft.

    Sennheiser-Zertifikate


    Was ist passiert. Die Entwickler von Sennheiser HeadSetup und HeadSetup Pro, einer Software für das Telefonieren über das Netzwerk, hatten vor einigen Jahren den gleichen Erfolg wie Dell und Lenovo. Sie verwendeten unsichere Stammzertifikate.

    Was ist der Grund. Zusammen mit HeadSetup wurde ein Paar Stammzertifikate auf dem Computer installiert. Private Schlüssel werden in der Datei SennComCCKey.pem gespeichert, aus der sie leicht extrahiert werden können . Somit können Angreifer Zertifikate, legitime Websites usw. fälschen.

    Was sind die Folgen? Sennheiser hat Updates für seine Programme veröffentlicht.Alle Systeme, die in der Vergangenheit mit den HeadSetup-Versionen 7.3, 7.4 und 8.0 installiert wurden, bleiben jedoch anfällig für Man-in-the-Middle-Angriffe. Programme können aktualisiert oder gelöscht werden, aber das Entfernen der Zertifikate selbst, die bis 2027 und 2037 gültig sind, ist nicht so einfach. Sie verbleiben im Trust Store-Betriebssystem und müssen manuell entfernt werden.

    Alexa erzählt alles über dich


    Was ist passiert. Als Antwort auf ein Ersuchen um ein DSGVO-Gesetz sandte Amazon 1700 Audioaufnahmen von einem intelligenten Lautsprecher an die falsche Person. Nachdem sie ihnen zugehört hatten, war es möglich, den Besitzer und seinen Haushalt zu identifizieren, die Adresse und viele Details wie etwa musikalische Vorlieben zu erfahren.

    Was ist der Grund. Ein Unternehmensvertreter im Gespräch mit Journalisten Business Insider beschreibt dies als Einzelfall und verweist auf den Faktor Mensch.

    Aber ähnliche Situationen sind nicht ungewöhnlich. Im Rahmen des in den USA geltenden „Gesetzes über die Verbreitung von Informationen zur Verbreitung von Informationen“, das die Transparenz der Arbeit der Beamten erhöhen soll, kann daher jeder bei Regierungsbehörden bestimmte Daten anfordern. Der Internetaktivist Matt Chapman antwortet auf eine solche Anfrage der Seattle City Hall mit 32 Millionen Metadaten  256 erste Zeichen von jeder Nachricht gesendet . Darunter waren die Namen und Passwörter der Benutzer, Kreditkartennummern, Sozialversicherungskarten und Führerscheine, Polizeiberichte, FBI-Ermittlungsdaten und andere vertrauliche Informationen. Die schwedische Regierung hat versehentlich die persönlichen Daten der Teilnehmer des Zeugenschutzprogramms und einer Reihe von Strafverfolgungsbehörden preisgegeben.

    Was sind die Folgen? Verglichen mit den oben beschriebenen Fällen ist ein Vorfall mit Amazon relativ harmlos. Es lässt Sie jedoch darüber nachdenken, ob es sich überhaupt lohnt, intelligente Geräte ins Haus zu lassen, vor allem für diejenigen, die zuhören können, und wie nützlich DDSP für einen Hacker sein kann, der bereits Zugang zu Ihrem Konto erhalten hat.

    Ein paar Schwachstellen, (fast) getötete Dienste


    Microsoft Achillesferse


    Was ist passiert. Einer der Mitarbeiter von SafetyDetective entdeckte eine Kette kritischer Schwachstellen in Microsoft-Webdiensten , die in sieben Schritten den Zugriff auf success.office.com ermöglichte und Briefe mit Phishing-Links im Namen des Unternehmens verschickte.

    Was ist der Grund. Der Zugriffspunkt ist zu einer nicht funktionierenden Azure-Webanwendung geworden. Der Forscher übernahm die Kontrolle über die Domain success.office.com und verwendete OAuth-Überprüfungsfehler, um den Autorisierungsmechanismus zu umgehen und Jemanden mit Phishing zu erreichen. Ein Opfer eines solchen Hackings hätte kaum einen Trick erraten, da ein gefährlicher Link eine offizielle URL des Typs "login.live.com" hätte.

    Was sind die Folgen?SafetyDetective fand eine Sicherheitslücke und kontaktierte Microsoft im Juni 2018. Das Unternehmen hat im November 2018 reagiert und die Situation korrigiert. Sicherheitsexperten gehen davon aus, dass rund 400 Millionen Benutzer von der Sicherheitsanfälligkeit betroffen waren und Zugriff auf alle Microsoft-Konten gewährten, von Microsoft Outlook bis zum Microsoft Store.

    Google+ Agonie


    Was ist passiert. Google-Experten haben im Laufe des Jahres einige Schwachstellen in einem aussterbenden sozialen Netzwerk gefunden. Einer von ihnen , der das Alter, Geschlecht, die E-Mail-Adresse und den Arbeitsort des Benutzers ermitteln konnte, bestand seit 2015 und betraf etwa 500.000 Konten. Der zweite erschien erst kürzlich im November 2018 im Code , enthüllte jedoch weitaus mehr vertrauliche Daten: Angriffe Es gab 52,5 Millionen Konten.

    Was ist der Grund. Eine Sicherheitsüberprüfung ergab, dass beide Sicherheitsanfälligkeiten durch Fehler in der Google+ API-API verursacht wurden, die den nicht autorisierten Zugriff auf Benutzerdaten für verbundene Anwendungen öffneten.

    Was sind die Folgen?Google kann nicht zuversichtlich die Frage beantworten, ob die erste Sicherheitsanfälligkeit ausgenutzt wurde, da die API-Protokolle nicht länger als zwei Wochen gespeichert werden. Die zweite Sicherheitslücke wurde 6 Tage nach dem Erscheinen bemerkt und behoben. Das Unternehmen beschloss jedoch, die Schließung von Google+ zu beschleunigen. APIs werden am 7. März 2019 deaktiviert. Das soziale Netzwerk wird im April dieses Jahres vollständig aufhören zu arbeiten.

    Ein Rekord DDoS


    Was ist passiert. Am 28. Februar 2018 starteten Hacker einen Rekordangriff mit einer Kapazität von 1,35 Tb / s auf GitHub-Servern , aber bereits am 5. März 2018 berichteten Analysten, dass der Rekord gebrochen sei. Im Zuge des neuen Angriffs wurde das Netzwerk eines amerikanischen Anbieters einer Last ausgesetzt, die einen Höchststand von 1,7 Tb / s erreichte.

    Was ist der Grund. Dies liegt an der seit 2014 bekannten Sicherheitslücke in Memcached-Code - Software zum Zwischenspeichern von Daten im Arbeitsspeicher des Servers. Im Herbst 2017 wurde ein Weg gefunden, um die Sicherheitsanfälligkeit zum Implementieren von DRDoS-Angriffen mit Verkehrsvervielfachung durch verwundbare Reflektorserver zu nutzen.

    Was sind die Folgen?Der Datensatz wird wahrscheinlich beschädigt, da im Netzwerk noch viele Ressourcen vorhanden sind, die die falschen anfälligen Memcached-Einstellungen verwenden. Um sich vor solchen Angriffen zu schützen, empfiehlt Cloudflare, den gesamten UDP-Port für Port 11211 einzuschränken oder zu blockieren.

    Die Anzahl der Informationssicherheitsvorfälle nimmt nur zu. In dieser kurzen Exkursion haben wir nur einen Teil des Spektrums möglicher Bedrohungen gesammelt, von denen viele noch entdeckt werden müssen. Wenn Sie Ihren Service schützen möchten oder Sherlock Holmes mit einem weißen Hut werden möchten, führen Experten der Cybersecurity Academy BI.ZONE zusammen mit dem Binary District eine intensive Untersuchung der Webanwendungssicherheit und Cyberangriffe für Unternehmen durch . Die Kurse finden vom 16. bis 17. Februar auf der Digital-Oktober-Website statt.