Datenbank-Sicherheitszusammenfassung – November 2017
Die folgende Zusammenfassung präsentiert die wichtigsten Neuigkeiten zur Datenbanksicherheit im November.
Gehackter britischer Schifffahrtsriese Clarksons: Daten könnten jederzeit geleakt werden
Das britische Schifffahrtsunternehmen Clarksons bestätigte, dass es kürzlich von Hackern angegriffen wurde. Das Unternehmen teilte mit, dass Cyberkriminelle auf seine Systeme zugegriffen haben und die Öffentlichkeit damit rechnen muss, dass einige sensible und vertrauliche Unternehmensdaten geleakt werden.
Es bleibt unklar, wann genau das Unternehmen Clarksons gehackt wurde und wann der Verstoß entdeckt wurde. Die Höhe des Lösegelds und die Identität der Hacker sind unbekannt.
Clarksons reiht sich damit in die Liste der großen Unternehmen ein, die in diesem Jahr Opfer eines großen Cyberangriffs wurden.
Uber bestätigte offiziell massiven Datenverstoß
Das globale Transporttechnologieunternehmen Uber gab offiziell einen massiven Datenverstoß bekannt. Hacker haben die Datenbank der App gehackt und persönliche Informationen von 57 Millionen Passagieren und Fahrern gestohlen, einschließlich ihrer Namen, E-Mail-Adressen und Telefonnummern. Das Unternehmen zahlte den Hackern 100.000 USD, um die Daten zu löschen und den Verstoß geheim zu halten. Der Angriff fand 2016 statt und die Zahlung wurde als Bug-Bounty-Preis getarnt. Ubers CEO Dara Khosrowshahi enthüllte diesen Verstoß jedoch im November 2017.
Cybersicherheitsexperten erklärten, dass „der Angriff eine kriminelle Handlung war, ebenso wie die Vertuschung“. Die Experten sagten auch, dass „Unternehmen die Möglichkeit von Sicherheitsfehlern einkalkulieren und das böswillige Verhalten aller Akteure antizipieren sollten“.
In der Zwischenzeit berichtete Financial Times, dass die neuesten Quartalsergebnisse von Uber zeigten, dass sich die bereinigten Verluste auf 734 Millionen USD ausgeweitet hatten, ein Anstieg von 14 Prozent gegenüber dem Vorquartal.
1,7 Millionen Nutzer von IMGUR wurden kompromittiert
Imgur, der beliebte Bildfreigabeservice, bestätigt, dass E-Mail-Adressen und Passwörter bei einem Sicherheitsverstoß im Jahr 2014 gestohlen wurden. Der Hack blieb 4 Jahre lang unbemerkt, bis der Sicherheitsforscher Troy Hunt IMGUR darüber informierte, dass er Details der gestohlenen Daten von Imgur-Nutzern hat.
Das Unternehmen untersucht immer noch die Ursache des Hacks und glaubt, dass der Hack auf einen alten Algorithmus zurückzuführen sein könnte, der zu dieser Zeit verwendet wurde.
PayPal schließt Tio Networks Service, der 1,6 Millionen Datensätze geleakt hat
PayPal Holdings Inc. sagte, dass persönlich identifizierbare Informationen von 1,6 Millionen Nutzern möglicherweise bei einem Unternehmen kompromittiert wurden, das es Anfang dieses Jahres erworben hatte.
Unter den möglicherweise betroffenen Kundeninformationen befanden sich Namen, Adressen, Bankkontodetails, Sozialversicherungsnummern und Anmeldedaten von Verbrauchern, die TIO zur Bezahlung von Rechnungen verwendeten.
Den Kunden wurden kostenlose Bonitätsprüfungen und Identitätsdiebstahlversicherungen angeboten. Inzwischen sind die Aktien von PayPal bereits um 0,6 % gefallen.
Oracle-Notfall-Update
Oracle hat ein Notfall-Update für schwerwiegende Schwachstellen veröffentlicht, die mehrere seiner Produkte betreffen, die auf sein proprietäres Jolt-Protokoll angewiesen sind. Zwei der Fehler erzielten 9,9 bzw. 10 auf der CVSS-Skala. Die Fehler wurden von Forschern bei ERPScan entdeckt, die die Serie von fünf Schwachstellen JoltandBleed nannten, wegen der Ähnlichkeiten mit der 2014 entdeckten Schwachstelle im OpenSSL HeartBleed-Bug. Es beschreibt die Schwachstellen wie folgt:
- CVE-2017-10272 ist eine Schwachstelle der Speicherangabe; deren Ausnutzung gibt einem Angreifer die Möglichkeit, den Speicher des Servers aus der Ferne zu lesen (9.9 auf der CVSS-Skala)
- CVE-2017-10267 ist eine Schwachstelle der Stapelüberläufe (7.5 auf der CVSS-Skala)
- CVE-2017-10278 ist eine Schwachstelle der Heap-Überläufe (7.0 auf der CVSS-Skala)
- CVE-2017-10266 ist eine Schwachstelle, die es einem böswilligen Akteur ermöglicht, Kennwörter des DomainPWD, das für die Jolt-Protokollauthentifizierung verwendet wird, mit Gewalt zu erzwingen (5.3 auf der CVSS-Skala)
- CVE-2017-10269 ist eine Schwachstelle, die das Jolt-Protokoll betrifft; sie ermöglicht es einem Angreifer, das gesamte PeopleSoft-System zu kompromittieren (10 auf der CVSS-Skala)
Kritische Schwachstelle in MongoDB
CVSS-Schweregradscore 9.1MongoDB hat eine deaktivierte Standard-Konfigurationseinstellung, networkMessageCompressors (auch als Drahtprotokollkompression bekannt), die beim Aktivieren eine Schwachstelle aufweist, die von einem böswilligen Angreifer ausgenutzt werden könnte, um den Dienst zu verweigern oder Speicher zu modifizieren.
PostgreSQL 10.1 Update
Die Veröffentlichung enthält eine Vielzahl von Korrekturen im Zusammenhang mit Abstürzen, fehlerhaften Abfragen, Tabellenfehlern und mehreren Schwachstellen. Weitere Einzelheiten finden Sie in der Veröffentlichungsnotiz.
Datenbank-Sicherheitszusammenfassung – Oktober Datenbank-Sicherheitszusammenfassung – September Datenbank-Sicherheitszusammenfassung – August