DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Datenbank-Sicherheitsdigest – Dezember 2018

Bitte werfen Sie einen Blick auf die größten Vorfälle in der Datenbanksicherheit im Dezember 2018.

Quora

Quora ist das neueste große Technologieunternehmen, das Opfer eines schweren Datenlecks wurde. Im Laufe dieses Monats wurde bekannt, dass Informationen über etwa 100 Millionen Nutzer kompromittiert wurden.

Die Quora-Website ist ein äußerst beliebter Ort, um Antworten auf Ihre Fragen zu erhalten. Leider hat jedoch eine böswillige Drittpartei ihren unbefugten Zugang zu dieser Website gefunden. Quora führt derzeit eine forensische Untersuchung durch, um die genaue Ursache dieses Vorfalls zu ermitteln.

Zu den potenziell durchgesickerten Informationen können solche Konto-Informationen wie Namen, E-Mails und verschlüsselte Passwörter sowie Daten aus sozialen Netzwerken wie Facebook und Twitter gehören. Darüber hinaus haben die Hacker auch Zugang zu den Aktivitäten der Nutzer erhalten – gestellte Fragen, gegebene Antworten, Kommentare, Direktnachrichten, Zustimmungen und Ablehnungen.

Die betroffenen Nutzer wurden benachrichtigt und ausgeloggt. Das Unternehmen glaubt, die Ursache dieses Vorfalls identifiziert und Maßnahmen zur Behebung des Problems ergriffen zu haben, obwohl die Untersuchung noch andauert und Quora plant, IT-Sicherheitsverbesserungen durchzuführen.

120 Millionen Brasilianer betroffen

120 Millionen Brasilianer haben ihre personenbezogenen Daten im Internet verloren. Dies geschah aufgrund einer weiteren IT-Fehlkonfiguration.

Dieser Vorfall bezieht sich auf das Cadastro de Pessoas Físicas (CPFs). Dies ist die Behörde, die spezielle IDs für alle Bürger und steuerpflichtigen Einwohner ausstellt. Mehr als die Hälfte der Bevölkerung des größten Landes Südamerikas ist von diesem Vorfall betroffen.

IT-Sicherheitsforscher fanden die Datenbank mit diesen Informationen im März auf einem Apache-Webserver, nachdem sie eine einfache Internetsuche durchgeführt hatten.

Nach einigem Nachforschen stellte sich heraus, dass jemand die Datei 'index.html' in 'index.html_bkp' umbenannt hatte, wodurch der Inhalt des Verzeichnisses sichtbar wurde. Jeder, der den Dateinamen kannte und darauf zuging, hätte unbegrenzten Zugang zu allen Ordnern und Dateien innerhalb der Verzeichnisstruktur gehabt.

Die Behörde hat grundlegende IT-Sicherheitsregeln verletzt: Sie hätte die Hauptindex.html-Datei nicht umbenennen oder den Zugang durch .htaccess-Konfiguration verbieten sollen.

Die Forscher erwarten, dass diese Datenbank bald im Dark Web zum Verkauf angeboten wird. Es wird dringend empfohlen, dass die brasilianische Regierung eine gründliche Untersuchung dieses Vorfalls durchführt.

Boomoji

Eine beliebte chinesische Anwendung, Boomoji, mit etwa 5,3 Millionen Nutzern weltweit, ermöglicht iOS- und Android-Nutzern das Erstellen von 3D-Avataren.

Allerdings wurden die persönlichen Daten der gesamten Datenbank nach außen hin sichtbar, als Boomoji zwei ElasticSearch-Datenbanken ungeschützt ohne Passwort ließ.

Das Unternehmen verteilte seine Server, der eine, der internationale Nutzer bediente, war in den USA aufgestellt, während der andere, der chinesische Nutzer bediente, aufgrund der chinesischen Datenschutzgesetze in Hongkong aufgestellt wurde. Diese zwei Datenbanken enthielten die Nutzernamen, Geschlecht, Land, Telefontyp, die eindeutige Boomoji-ID, die Schulen der Nutzer. Darüber hinaus enthielten die Datenbanken die Geolokation von etwa 400 Tausend Nutzern und die Telefonbucheinträge jedes Nutzers, der der App den Zugriff auf seine Kontakte erlaubte.

Da einige Nutzer den Zugang zu ihrem Telefonbuch zuließen, kann die Gesamtanzahl der betroffenen Personen bis zu 125 Millionen Menschen betragen. Diese Menschen wissen möglicherweise nicht einmal, dass diese App existiert, und dennoch wurden ihre persönlichen Informationen preisgegeben. Und all das aufgrund von ungesicherten Datenbanken.

Hacker entwickeln täglich ihre Werkzeuge zum Hacken und Finden von Schwachstellen weiter. Deshalb ist es so wichtig, alle Informationen, für die man verantwortlich ist, unter vollständiger Kontrolle zu haben. Und natürlich ist es völlig unangemessen, die Datenbanken, für die man verantwortlich ist, irgendwo ungesichert zu lassen.

Sicherheitsupdates für Datenbanken

Oracle

https://nvd.nist.gov/vuln/detail/CVE-2018-16868
https://nvd.nist.gov/vuln/detail/CVE-2018-16869
https://nvd.nist.gov/vuln/detail/CVE-2018-19439

MySQL

https://nvd.nist.gov/vuln/detail/CVE-2018-17957
https://nvd.nist.gov/vuln/detail/CVE-2018-19439
https://nvd.nist.gov/vuln/detail/CVE-2018-15719
https://nvd.nist.gov/vuln/detail/CVE-2018-14704
https://nvd.nist.gov/vuln/detail/CVE-2018-14703
https://nvd.nist.gov/vuln/detail/CVE-2018-14700
https://nvd.nist.gov/vuln/detail/CVE-2018-14696
https://nvd.nist.gov/vuln/detail/CVE-2018-14695

MySQL

https://nvd.nist.gov/vuln/detail/CVE-2018-2497
https://nvd.nist.gov/vuln/detail/CVE-2018-2502

MS SQL Azure

https://nvd.nist.gov/vuln/detail/CVE-2018-8652

IBM DB2

https://nvd.nist.gov/vuln/detail/CVE-2018-1977

MongoDB

https://nvd.nist.gov/vuln/detail/CVE-2018-1784

Elasticsearch

https://nvd.nist.gov/vuln/detail/CVE-2018-17247
https://nvd.nist.gov/vuln/detail/CVE-2018-17244

Percona Server MySQL

https://nvd.nist.gov/vuln/detail/CVE-2018-19039

Nächste

Datenbanksicherheitsdigest – Januar 2019

Datenbanksicherheitsdigest – Januar 2019

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]