Database Security Digest – Januar 2018
Hier ein kurzer Überblick über die Nachrichten zur Datenbank-Sicherheit im Januar 2018
Coincheck
Die in Tokio ansässige Kryptowährungsbörse Coincheck verliert bei einem Hackerangriff mehr als 400 Millionen Dollar. Die Hacker verübten den bisher größten Krypto-Raub und versetzen damit Kunden in Panik über die Zukunft ihrer virtuellen Vermögenswerte. Die Coincheck-Börse handelt mit der NEM-Kryptowährung und meldete einen erheblichen Rückgang des Guthabens in dieser Währung. Die Untersuchung ergab, dass etwa 400 Millionen Dollar in NEM illegal auf einige nicht identifizierte Konten transferiert wurden. NEM-Einlagen aller Kunden wurden eingefroren und Coincheck musste alle Abhebungen sperren. Zurzeit untersucht das Management des Unternehmens den Vorfall. Der Diebstahl war möglich, da das Führungsteam grundlegende Sicherheitsfunktionen nicht implementiert hatte.
Blackwallet
Die Stellar Lumen Kryptowährung wurde Ziel eines Hackerangriffs. Die Angreifer konnten den DNS-Server auf einen von den Kriminellen kontrollierten Server umleiten. Das Ergebnis dieses Diebstahls waren 670.000 Lumens (ungefähr 400.000 Dollar), die fehlten. Experten zufolge wurde die Schwachstelle durch eine Codeinjektion ausgenutzt. Wenn die Blackwallet-Nutzer mehr als 20 Lumens in ihren Wallets hatten, wurden ihre Guthaben automatisch zu einem anderen Wallet transferiert, das offenbar dem Angreifer gehörte.
Vtech
Die Anklageforderungen belaufen sich auf 650.000 Dollar für einen in Hongkong ansässigen Hersteller von elektronischem Spielzeug. Die US-Bundeshandelskommission (FTC) erhob die Anklage gegen VTech nach einem Datenleck im Jahr 2015. Nach zweijähriger Untersuchung wurde eine Einigung mit der FTC erzielt. Nun muss der Spielzeughersteller 650.000 Dollar bezahlen, um die Vorwürfe beizulegen, weil es versäumt hat, die Privatsphäre seiner Nutzer zu schützen. Der Spielzeughersteller Vtech sammelte viele Informationen über Kinder und Eltern, die seine Kid Connect-Anwendung nutzten. Dabei holte das Unternehmen jedoch keine Zustimmung der Eltern ein oder informierte die Kinder darüber, welche Daten gesammelt wurden. Die Untersuchung ergab, dass die Sicherheitspraktiken im Unternehmen schlecht waren und man leicht Zugang zu Namen, Wohnadressen und sogar Fotos und Chat-Protokollen der Eltern und Kinder erhalten konnte. Der Hacker nutzte eine einfache, aber dennoch sehr effektive Methode der SQL-Injektion, um Fotos und Audiodateien anzusehen, die von Kindern und Eltern hochgeladen wurden. Das Unternehmen versprach, in Zukunft strengere Sicherheitsmaßnahmen einzuhalten und mehr auf den Schutz persönlicher Daten zu achten.
Jason’s Deli
Es gab einen massiven Datenverstoß bei dieser familiengeführten Restaurantkette in den USA. Ermittler sagen, dass die Hacker eine RAM-Scraping-Malware verwendeten, die ab dem 8. Juni 2017 auf den Point-of-Sale-Terminals in den gesamten USA installiert war. Das Management des Unternehmens informierte die Öffentlichkeit darüber, dass die Hacker Informationen zu bis zu 2 Millionen Kartennummern einschließlich Karteninhaber-Namen, Ablaufdaten, Karteninhaberverifizierungswerte und Service-Codes erlangt hatten.
OnePlus
Das Unternehmen OnePlus ist für das Leaken von bis zu 40.000 Kreditkartendetails infolge eines Hackerangriffs verantwortlich. Jeder, der online einen Kauf tätigte, setzte seine Kreditkarteninformationen einem Risiko aus und sollte möglicherweise seine Bank kontaktieren. Kreditkarteninformationen wurden von Kunden gestohlen, während sie ihre Einkäufe auf der Website des Herstellers tätigten. Es scheint, dass das schwächste Glied auf der Website die Zahlungsintegration des Unternehmens mit der Magento eCommerce-Plattform war.
UK Top Law Firms
Cybersicherheitsforscher haben Dateidumps im dunklen Internet gefunden. Diese Datenbanken enthalten ca. 1,2 Millionen Einträge, die von mehreren Top-Anwaltskanzleien in Großbritannien geleakt wurden. Diese Einträge enthalten E-Mail-Adressen, und bei 80 Prozent davon waren Passwörter enthalten. Um die Situation noch schlimmer zu machen, waren einige Passwörter im Klartext. Mit diesen Informationen können Hacker oder praktisch jeder die Verteidigungssysteme der Unternehmensnetzwerke umgehen, indem sie legitime Zugangsdaten verwenden, ohne erkannt zu werden.
Datenbank-Updates
MariaDB
https://nvd.nist.gov/vuln/detail/CVE-2017-15365
IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2016-0215
Apache
https://nvd.nist.gov/vuln/detail/CVE-2016-6814
MySQL
https://nvd.nist.gov/vuln/detail/CVE-2014-8335
https://nvd.nist.gov/vuln/detail/CVE-2014-4991
https://nvd.nist.gov/vuln/detail/CVE-2014-4995
https://nvd.nist.gov/vuln/detail/CVE-2014-4996
https://nvd.nist.gov/vuln/detail/CVE-2014-4998
https://nvd.nist.gov/vuln/detail/CVE-2014-4999
https://nvd.nist.gov/vuln/detail/CVE-2014-5001
https://nvd.nist.gov/vuln/detail/CVE-2014-5004
https://nvd.nist.gov/vuln/detail/CVE-2018-2562
https://nvd.nist.gov/vuln/detail/CVE-2018-2565
https://nvd.nist.gov/vuln/detail/CVE-2018-2573
https://nvd.nist.gov/vuln/detail/CVE-2018-2576
https://nvd.nist.gov/vuln/detail/CVE-2018-2583
https://nvd.nist.gov/vuln/detail/CVE-2018-2585
https://nvd.nist.gov/vuln/detail/CVE-2018-2586
https://nvd.nist.gov/vuln/detail/CVE-2018-2590
https://nvd.nist.gov/vuln/detail/CVE-2018-2591
https://nvd.nist.gov/vuln/detail/CVE-2018-2600
https://nvd.nist.gov/vuln/detail/CVE-2018-2612
https://nvd.nist.gov/vuln/detail/CVE-2018-2622
https://nvd.nist.gov/vuln/detail/CVE-2018-2640
https://nvd.nist.gov/vuln/detail/CVE-2018-2645
https://nvd.nist.gov/vuln/detail/CVE-2018-2646
https://nvd.nist.gov/vuln/detail/CVE-2018-2647
https://nvd.nist.gov/vuln/detail/CVE-2018-2665
https://nvd.nist.gov/vuln/detail/CVE-2018-2667
https://nvd.nist.gov/vuln/detail/CVE-2018-2668
https://nvd.nist.gov/vuln/detail/CVE-2018-2696
https://nvd.nist.gov/vuln/detail/CVE-2018-2703
https://nvd.nist.gov/vuln/detail/CVE-2018-6521
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-2699
https://nvd.nist.gov/vuln/detail/CVE-2018-2680
https://nvd.nist.gov/vuln/detail/CVE-2018-2575
https://nvd.nist.gov/vuln/detail/CVE-2017-10282
SAP HANA
https://nvd.nist.gov/vuln/detail/CVE-2018-2362