Datenbank-Sicherheitsdigest – Dezember 2018
Quora
Quora ist das neueste große Technologieunternehmen, das Opfer eines schweren Datenlecks wurde. Im Laufe dieses Monats wurde bekannt, dass Informationen über etwa 100 Millionen Nutzer kompromittiert wurden.
Die Quora-Website ist ein äußerst beliebter Ort, um Antworten auf Ihre Fragen zu erhalten. Leider hat jedoch eine böswillige Drittpartei ihren unbefugten Zugang zu dieser Website gefunden. Quora führt derzeit eine forensische Untersuchung durch, um die genaue Ursache dieses Vorfalls zu ermitteln.
Zu den potenziell durchgesickerten Informationen können solche Konto-Informationen wie Namen, E-Mails und verschlüsselte Passwörter sowie Daten aus sozialen Netzwerken wie Facebook und Twitter gehören. Darüber hinaus haben die Hacker auch Zugang zu den Aktivitäten der Nutzer erhalten – gestellte Fragen, gegebene Antworten, Kommentare, Direktnachrichten, Zustimmungen und Ablehnungen.
Die betroffenen Nutzer wurden benachrichtigt und ausgeloggt. Das Unternehmen glaubt, die Ursache dieses Vorfalls identifiziert und Maßnahmen zur Behebung des Problems ergriffen zu haben, obwohl die Untersuchung noch andauert und Quora plant, IT-Sicherheitsverbesserungen durchzuführen.
120 Millionen Brasilianer betroffen
120 Millionen Brasilianer haben ihre personenbezogenen Daten im Internet verloren. Dies geschah aufgrund einer weiteren IT-Fehlkonfiguration.
Dieser Vorfall bezieht sich auf das Cadastro de Pessoas Físicas (CPFs). Dies ist die Behörde, die spezielle IDs für alle Bürger und steuerpflichtigen Einwohner ausstellt. Mehr als die Hälfte der Bevölkerung des größten Landes Südamerikas ist von diesem Vorfall betroffen.
IT-Sicherheitsforscher fanden die Datenbank mit diesen Informationen im März auf einem Apache-Webserver, nachdem sie eine einfache Internetsuche durchgeführt hatten.
Nach einigem Nachforschen stellte sich heraus, dass jemand die Datei 'index.html' in 'index.html_bkp' umbenannt hatte, wodurch der Inhalt des Verzeichnisses sichtbar wurde. Jeder, der den Dateinamen kannte und darauf zuging, hätte unbegrenzten Zugang zu allen Ordnern und Dateien innerhalb der Verzeichnisstruktur gehabt.
Die Behörde hat grundlegende IT-Sicherheitsregeln verletzt: Sie hätte die Hauptindex.html-Datei nicht umbenennen oder den Zugang durch .htaccess-Konfiguration verbieten sollen.
Die Forscher erwarten, dass diese Datenbank bald im Dark Web zum Verkauf angeboten wird. Es wird dringend empfohlen, dass die brasilianische Regierung eine gründliche Untersuchung dieses Vorfalls durchführt.
Boomoji
Eine beliebte chinesische Anwendung, Boomoji, mit etwa 5,3 Millionen Nutzern weltweit, ermöglicht iOS- und Android-Nutzern das Erstellen von 3D-Avataren.
Allerdings wurden die persönlichen Daten der gesamten Datenbank nach außen hin sichtbar, als Boomoji zwei ElasticSearch-Datenbanken ungeschützt ohne Passwort ließ.
Das Unternehmen verteilte seine Server, der eine, der internationale Nutzer bediente, war in den USA aufgestellt, während der andere, der chinesische Nutzer bediente, aufgrund der chinesischen Datenschutzgesetze in Hongkong aufgestellt wurde. Diese zwei Datenbanken enthielten die Nutzernamen, Geschlecht, Land, Telefontyp, die eindeutige Boomoji-ID, die Schulen der Nutzer. Darüber hinaus enthielten die Datenbanken die Geolokation von etwa 400 Tausend Nutzern und die Telefonbucheinträge jedes Nutzers, der der App den Zugriff auf seine Kontakte erlaubte.
Da einige Nutzer den Zugang zu ihrem Telefonbuch zuließen, kann die Gesamtanzahl der betroffenen Personen bis zu 125 Millionen Menschen betragen. Diese Menschen wissen möglicherweise nicht einmal, dass diese App existiert, und dennoch wurden ihre persönlichen Informationen preisgegeben. Und all das aufgrund von ungesicherten Datenbanken.
Hacker entwickeln täglich ihre Werkzeuge zum Hacken und Finden von Schwachstellen weiter. Deshalb ist es so wichtig, alle Informationen, für die man verantwortlich ist, unter vollständiger Kontrolle zu haben. Und natürlich ist es völlig unangemessen, die Datenbanken, für die man verantwortlich ist, irgendwo ungesichert zu lassen.
Sicherheitsupdates für Datenbanken
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-16868https://nvd.nist.gov/vuln/detail/CVE-2018-16869
https://nvd.nist.gov/vuln/detail/CVE-2018-19439
MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-17957https://nvd.nist.gov/vuln/detail/CVE-2018-19439
https://nvd.nist.gov/vuln/detail/CVE-2018-15719
https://nvd.nist.gov/vuln/detail/CVE-2018-14704
https://nvd.nist.gov/vuln/detail/CVE-2018-14703
https://nvd.nist.gov/vuln/detail/CVE-2018-14700
https://nvd.nist.gov/vuln/detail/CVE-2018-14696
https://nvd.nist.gov/vuln/detail/CVE-2018-14695
MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-2497https://nvd.nist.gov/vuln/detail/CVE-2018-2502
MS SQL Azure
https://nvd.nist.gov/vuln/detail/CVE-2018-8652IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2018-1977MongoDB
https://nvd.nist.gov/vuln/detail/CVE-2018-1784Elasticsearch
https://nvd.nist.gov/vuln/detail/CVE-2018-17247https://nvd.nist.gov/vuln/detail/CVE-2018-17244