ISPIN Security Radar #37/19

/Security Radar

Datenlecks – anytime, anywhere? Die Grösse von Datenlecks nimmt in jüngster Vergangenheit immer weiter zu, während die Intervalle immer kleiner werden.

Mist, es gab ein Datenleck und ihre persönlichen Daten sind möglicherweise gefährdet? Opfer einer Datenpanne zu sein, ist keine Kleinigkeit. Mittlerweile kann man fast wöchentlich von Datenlecks in der Presse lesen. Das "who is who" der weltweit grössten Datenhacks ist dabei prominent besetzt: Facebook, Mastercard, LinkedIn, Dropbox, Yahoo, Mariott oder Swisscom. Nicht immer sind dabei E-Mail oder e-Banking-Accounts davon betroffen, wie die jüngsten Beispiele aus Ecuador oder dem Gesundheitswesen zeigen. In einem ersten Schritt ist es aber wichtig herauszubekommen, was genau passiert ist und welche persönlichen Informationen betroffen sind, denn die nächsten Schritte, wie Passwörter ändern, Bank informieren etc. hängen davon ab. Es ist also höchste Zeit für Unternehmen und Anwender sich den Gefahren eines Datenverlustes bewusst zu werden.

Datenpanne in Ecuador

Eine gravierende Sicherheitslücke führte dazu, dass rund 20.8 Mio sensiblen Datensätze der Einwohner des südamerikanischen Staates Ecuador bis vor einigen Monaten öffentlich zugänglich waren. Veröffentlicht wurden nach Angaben von Sicherheitsexperten Namen, Geburtsdaten und -orte, Bildungsniveau, Telefon- und Ausweisnummern der Betroffenen. Die Daten stammten gemäss den Angaben durch eine unsachgemäss konfigurierte Datenbank auf einem ungesicherten Server eines ecuadorianischen Marketing- und Analyseunternehmens. Entdeckt wurde die Sicherheitslücke durch Forscher der Firma vpnMentor auf dem von der Firma Novaestrat betriebenen Elasticsearch-Server – ein Passwort habe es nicht gegeben.

Patientendaten online aufrufbar

Sicherheitsexperten Dirk Schrader entdeckte vor kurzem, dass 16 Millionen Patiente-Datensätze- aus 50 Länder über einen unbestimmten Zeitraum hinweg im Netz frei zugänglich waren. Gemäss den Informationen des Sicherheitsexperten sind auch Schweizer Patientendaten davon betroffen - auf zwei Server wurden rund 1500 Datensätzen gefunden. Die Bilder (Röntgenbilder, Brustkrebsscreenings, CRT-Scans) sind hochauflösend und gespickt mit zahlreichen personenbezogenen Informationen wie Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst. Mehr zur Recherche des Bayerischen Rundfunks.

Der monatliche Zyklus einer Frau muss auf jeden Fall sehr diskret behandelt werden – leider trifft dies nicht für alle Zyklus-App Hersteller zu!

Wann genau sind schon wieder die fruchtbaren Tage? Sind meine Tage überfällig? Viele und weitere solcher Fragen sind nicht immer ganz einfach zu beantworten. Dazu gibt es schon länger software-technische Abhilfe. Doch wie die Hersteller solcher Zyklus-Apps mit der Diskretion und der Privatsphäre dieser Daten umgehen, ist nicht immer ganz nachzuvollziehen. Ein neuer Bericht der Datenschutzorganisation Privacy International zeigt, dass viel der Apps die intimen Daten ihrer Nutzerinnen an Facebook weiterleiten. So weiss Facebook nicht nur wo wir Ferien machen, welche Interessen oder welches Smartphone wir haben, sondern dank den Apps auch sensible Informationen wie z.B, welche Verhütungsmittel die Person nutzt, wann sie zuletzt Sex hatte oder in welcher Stimmung sie sich momentan befindet. Die Apps Maya und MIA gehen besonders unsensibel mit den Daten der Nutzerinnen, geben diese Daten bereits weiter bevor die Nutzerinnen überhaupt die Einverständniserklärung gesehen haben. Es spielt dabei auch keine Rolle ob die Nutzerin überhaupt ein Facebook-Profil hat oder nicht. Solch sensible Daten sind für Werbetreibende und somit auch für Facebook Gold wert. Wenn z.B. eine Nutzerin mit Kinderwunsch die Zyklus-App nutzt, um ihre fruchtbaren Tage zu bestimmen, dann ist sie eine potenzielle Kundin für Umstandsmode, Windeln, Kindermode etc, und erhält so sorgfältig zugeschnittene Werbeanzeigen.

420 Millionen Telefonnummern bei Facebook geleakt

Facebook ist nicht nur eine Datenkrake die sammelt, sondern sie kämpfen fortwährend mit Datenpannen. So waren die Handynummern in Verbindung mit Profil-Identifikationsnummern von 419 Millionen NutzerInnen für einige Zeit offen im Netz abrufbar. Die Datenbank scheint durch den Missbrauch einer Funktion zur Freunde-Suche per Telefonnummer zusammengestellt worden zu sein, bevor Facebook die Möglichkeit abschaltete, Bekannte mit Hilfe ihrer Telefonnummer zu finden. Diese Datenpanne zeigt das Problem mit Handynummern auf, denn wer gegen solche Lecks gewappnet sein möchte, darf seine Handynummer nicht an Plattformen weitergeben. Allerdings, wer halbwegs sicher mittels Zwei-Faktor-Authentifikation sein möchte, muss dies halt doch tun, da in der Regel nur wenig bis keine technischen Alternativen angeboten werden.

UNICEF verrät versehentlich Benutzerdaten

Die Kinderorganisation der Vereinten Nationen, UNICEF, hat versehentlich die persönliche Daten von Usern ihres Online-Lernportals Agora veröffentlicht. Das Lernportal bietet UNICEF-Mitarbeitern und der breiten Bevölkerung kostenlose Schulungen zu Themen wie Kinderrechte, humanitäre Massnahmen, Forschung und Daten. Bei dem Vorfall wurden die Daten von über 8’000 Usern, die an Impfkursen teilgenommen haben, an 20'000 Agora-Benutzer per Mail versendet. Das Mail wurde irrtümlicher Weise durch einen Mitarbeiter ausgelöst als dieser einen Bericht erstellte. Je nach vorhandenen Informationen im persönlichen Profil wurden von den Kursteilnehmern Daten wie Namen, E-Mail-Adressen, Geschlecht, Firma, Name des Vorgesetzten und Vertragsart der Personen versendet. Nachdem UNICEF das Leck am Tag nach dem Versand der E-Mail entdeckt hatte, deaktivierten sie die Agora-Funktionalität, die den Versand dieser Art von Berichten ermöglichte, und blockierte gleichzeitig auch die Funktion des Portals, E-Mail-Anhänge zu versenden.

Wie Smartphones per SMS zu Peilsendern werden

Sicherheitsforscher von AdaptiveMobile warnen vor der neuen Schadsoftware Simjacker. Die Malware wird mit einer speziell präparierter SMS an den sogenannten S@t-Browser (SIMalliance Toolbox Browser) übermittelt. Das S@T-Protokoll werde von Mobilfunknetzbetreibern in 30 Ländern mit insgesamt über einer Milliarde Einwohnern genutzt. Der S@t-Browser ist eine Software, die einige Hersteller auf SIM-Karten installieren, auch wenn sie seit zehn Jahren nicht aktualisiert wurde und heutzutage eigentlich nicht mehr benötigt wird. Bei früheren Versuchen, die SIM-Karte zu attackieren, seien lediglich Links auf Websites mit Schadsoftware verschickt worden. Bei den jüngst beobachteten Angriffen werde der Code hingegen direkt mit der SMS geliefert. Dieser enthalte eine Reihe von STK-Befehlen (SIM-Toolkit), die an die SIM-Karte weitergereicht und dort ausgeführt werden. Die Angreifer können damit z.B gerätespezifische Daten wie der aktuelle Standort sammeln, Gespräche mithören, weitere Malware einschleusen, eine Nummer anrufen, Bildnachricht versenden oder sogar die SIM-Karte deaktivieren (Denial-of-Service). Die erbeuteten Informationen werden dann per SMS an den Angreifer ohne jeglicher Nutzerinteraktion gesendet. Auch wenn Simjacker zurzeit (noch) nicht für grossflächige Angriffe missbraucht wird, besteht dennoch die Gefahr, dass Angriffe über den S@T Browser künftig häufiger stattfinden könnten.

Vorsicht Schlange

Das FBI und CISA gaben letzte Woche eine Warnung heraus, in der Forscher vor eine neuer Kampagne warnten. Die Nordkoreanische APT Gruppe «Hidden Cobra» verwenden seit kurzem die Malwarevarianten Electricfish und Badcall. Electricfish ist ein nordkoreanisches Tunneling-Tool mit dem Hauptzweck, den Datenverkehr zwischen zwei IP-Adressen zu tunneln. Es wird versucht, Sitzungen mit der IP-Adresse des Angreifers und der IP-Adresse des Ziels zu erstellen. Wenn eine Verbindung hergestellt wurde, implementiert die Malware ein benutzerdefiniertes Protokoll, das den Datenverkehr zwischen den beiden Maschinen effizient überträgt. Badcall ist ein Trojaner, der ein infiziertes System dazu zwingt, als Proxy-Server zu fungieren. Angreifer, die sich mit einem Zielcomputer verbinden, müssen sich zunächst authentifizieren; wenn sie erfolgreich sind, können sie einen Befehl zum Erstellen einer Proxy-Sitzung zwischen dem Betreiber und einem anderen Server ausgeben.

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf und erfahren Sie mehr zu unseren Cyber Defense Services.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter