Database Security Digest – September 2018
Bitte werfen Sie einen Blick auf die größten Datenbanksicherheitsvorfälle im September 2018.
British Airways gehackt
Über einen Zeitraum von mehr als zwei Wochen, mutmaßlich vom 21. August bis 5. September, hatten Hacker Zugriff auf die Transaktionsdaten von über 380.000 Kunden, die auf der offiziellen Website der Fluggesellschaft oder in der App Buchungen vorgenommen oder geändert haben. Die Hacker haben folgende Finanzinformationen erbeutet: Namen, E-Mail-Adressen und Kreditkarteninformationen (Kreditkartennummern, Ablaufdaten und CVC-Codes, die zur Genehmigung von Zahlungen verwendet werden). Das Information Commissioner’s Office führt eine Untersuchung zu den Ursachen dieses erfolgreichen Hackerangriffs durch. Es ist sehr wahrscheinlich, dass British Airways eine Geldstrafe zahlen muss, weil sie die sensiblen Informationen der Kunden nicht sicher aufbewahren konnten.
Die Vertreter der Airline sagen, dass der Angriff von einer sehr „raffinierten“ Gruppe von Cyberkriminellen durchgeführt wurde. Nun empfiehlt die Fluggesellschaft den betroffenen Kunden, ihre Banken zu kontaktieren, um alle notwendigen Maßnahmen zu ergreifen, um Geld- und Identitätsdiebstahl zu verhindern.
Experten sagen, dass die gestohlenen Daten auf der dunklen Seite des Internets basierend auf dem durchschnittlichen Preis solcher Informationen mehr als 20 Millionen Pfund wert sein könnten.
Mehr als 6 Millionen Kunden bei einem US-Einzelhändler-Datenleck betroffen
SHEIN ist ein multinationales Unternehmen, das Kleidung verkauft. Es wurde 2008 in North Brunswick, New Jersey, gegründet. Allerdings ist es Cyberkriminellen egal, welches Unternehmen sie hacken, sie sind nur daran interessiert, Unternehmensdatenbanken zu erhalten und zu verkaufen.
Das Unternehmen gab zu, gehackt worden zu sein und persönliche Daten von über sechs Millionen Kunden preiszugeben. Weiter berichtete das Unternehmen, dass es Ziel eines „gezielten kriminellen Cyberangriffs“ gewesen sei und eine forensische Cybersicherheitsfirma und eine Anwaltskanzlei hinzuziehen musste, um eine Untersuchung durchzuführen. Das Unternehmen gab nicht viele Details bekannt, aber es scheint, dass auf seine Server einige Malware heruntergeladen wurde. In der Pressemitteilung des Unternehmens wurde erklärt, dass die von den Hackern illegal erworbenen persönlichen Daten E-Mail-Adressen und verschlüsselte Passwörter von Kunden umfassen, die die Website des Unternehmens besucht hatten.
14 Millionen Datensätze durch Regierungs-Zahlungsdienst offengelegt
Eine beliebte Plattform, die von vielen Amerikanern genutzt wird, um Rechnungen, Bußgelder, Lizenzgebühren und mehr an über 2000 Regierungsstellen und Agenturen in 35 Bundesstaaten zu bezahlen, gab unabsichtlich persönliche Daten durch einen Website-Fehler preis. Die Online-Quittungen, die nach einer Zahlung ausgestellt wurden, waren fortlaufend nummeriert. Durch einfaches Eingeben neuer Nummern in die Adressleiste konnte jeder die Datensätze anderer Personen durchsehen. Auf diese Weise waren über 14 Millionen Datensätze, die bis ins Jahr 2012 zurückreichen, leicht zugänglich. Die offengelegten Informationen umfassten Namen, Adressen, Telefonnummern und die letzten vier Ziffern von Bankkarten. Diese Informationen reichen theoretisch aus, um einen sehr realistisch aussehenden Phishing-Angriff durchzuführen. Der von GovPayNet betriebene Regierungs-Zahlungsdienst war sehr schnell dabei, diesen Fehler zu beheben.
Sicherheitsupdates für Datenbanken
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-16959https://nvd.nist.gov/vuln/detail/CVE-2018-16958
https://nvd.nist.gov/vuln/detail/CVE-2018-16957
https://nvd.nist.gov/vuln/detail/CVE-2018-16956
https://nvd.nist.gov/vuln/detail/CVE-2018-16955
https://nvd.nist.gov/vuln/detail/CVE-2018-16954
https://nvd.nist.gov/vuln/detail/CVE-2018-16953
https://nvd.nist.gov/vuln/detail/CVE-2018-16952
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2018-16659PostgreSQL
https://nvd.nist.gov/vuln/detail/CVE-2016-7070MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-17034https://nvd.nist.gov/vuln/detail/CVE-2018-17035
IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2018-1711https://nvd.nist.gov/vuln/detail/CVE-2018-1710
https://nvd.nist.gov/vuln/detail/CVE-2018-1685