DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Datenbanksicherheitsdigest – Januar 2019

Bitte werfen Sie einen Blick auf die größten Datenbanksicherheitsvorfälle im Januar 2019.

Turm von Salem

Während andere Menschen ihre Weihnachtsferien genossen, waren mehr als 7,5 Millionen Spieler des berühmten Online-Spiels Turm von Salem von einem Datenleck betroffen, das durch die Entwickler des Spiels BlankMediaGames (BMG) verursacht wurde.

DeHashed, ein Anbieter von durchsuchbaren gehackten Datenbanken, sagte in einem Blogbeitrag, er habe eine anonyme E-Mail erhalten, in der ihm ein vollständiger Fundus der gerade kompromittierten Daten angeboten wurde.

Das Unternehmen erklärte, der Vorfall sei aufgrund einer lokalen Dateiinklusion/Remote-Dateiinklusion-Schwachstelle passiert.

Zu den durchgesickerten Daten gehören unter anderem: Benutzernamen, E-Mails, Passwörter, IP-Adressen, alle In-Game-Aktivitäten und, was noch wichtiger ist, Zahlungsinformationen. Die Gesamtzeilenanzahl beträgt: 8.388.894, davon 7.633.234 eindeutige E-Mail-Adressen.

Glücklicherweise speichert BMG keine Zahlungs- und Bankkartendaten, aber die oben genannten gehackten Informationen könnten leicht verwendet werden, um nachfolgende Phishing-Versuche zu starten.

Es dauerte einige Tage, bis BlankMediaGames auf den Vorfall reagierte. Das Unternehmen entschuldigte sich bei allen Kunden und machte das „schreckliche Timing“ des Hacks verantwortlich.

202 Millionen Lebensläufe

Eine einfache Suche bei BinaryEdge oder Shodan kann sehr interessante Ergebnisse liefern. Zum Beispiel eine riesige MongoDB-Datenbank, die detaillierte Lebensläufe für über 202 Millionen Arbeitssuchende aus China enthält.

Der riesige 854GB-Datensatz enthielt Daten zu 202,7 Millionen chinesischen Personen, die nach einem Job suchen. Zu den sensiblen Daten gehörten Mobiltelefonnummer, E-Mail, Familienstand, Kinder, Informationen zu politischen Ansichten, Größe, Gewicht, Führerschein, Bildungsstand, Gehaltserwartungen und andere persönliche Informationen. Cyberkriminelle können diese Informationen leicht verwenden und werden es auch tun, um gut geplante Phishing-Angriffe durchzuführen.

Die Herkunft der Daten ist unbekannt, aber einige IT-Sicherheitsforscher glauben, dass all diese Informationen von Drittanbieter-Lebenslaufseiten abgeschöpft wurden. Andere glauben, dass diese Daten aus einem GitHub-Repository stammen, das einen Web-App-Quellcode enthielt, der ein ähnliches Muster wie die in den durchgesickerten Lebensläufen verwendeten aufwies.

Diese Datenbank wurde kurz nach der öffentlichen Bekanntgabe auf Twitter gesichert, aber es ist unbekannt, wie lange sie vollständig offengelegt dort lag. Die IT-Sicherheitsforscher sagen, dass sie möglicherweise von mindestens einem Dutzend IPs zugegriffen wurde.

Google gemäß DSGVO bestraft

In Frankreich wurde Google gemäß den Anforderungen der DSGVO mit einer Geldstrafe von 50 Mio. Euro (57 Mio. USD, 44 Mio. GBP) belegt. Das geschah, weil das Unternehmen nicht mitgeteilt hatte, wie ihre Daten verwendet werden.

CNIL, der französische Regulierer, verhängte die Geldstrafe nach Beschwerden von zwei Rechten, noyb und La Quadrature du Net (LQDN).

CNIL sagt, es hat zwei Verstöße gegen die Allgemeine Datenschutzverordnung (GDPR) festgestellt.

Sicherheitsaktualisierungen für Datenbanken

Oracle

https://nvd.nist.gov/vuln/detail/CVE-2019-2547
https://nvd.nist.gov/vuln/detail/CVE-2019-2548
https://nvd.nist.gov/vuln/detail/CVE-2019-2549
https://nvd.nist.gov/vuln/detail/CVE-2019-2550
https://nvd.nist.gov/vuln/detail/CVE-2019-2552
https://nvd.nist.gov/vuln/detail/CVE-2019-2553
https://nvd.nist.gov/vuln/detail/CVE-2019-2554
https://nvd.nist.gov/vuln/detail/CVE-2019-2555
https://nvd.nist.gov/vuln/detail/CVE-2019-2545
https://nvd.nist.gov/vuln/detail/CVE-2019-2546

MS SQL Server

https://nvd.nist.gov/vuln/detail/CVE-2019-2529
https://nvd.nist.gov/vuln/detail/CVE-2019-2537
https://nvd.nist.gov/vuln/detail/CVE-2017-18359
https://nvd.nist.gov/vuln/detail/CVE-2019-6799

MySQL

https://nvd.nist.gov/vuln/detail/CVE-2018-14704
https://nvd.nist.gov/vuln/detail/CVE-2018-15719
https://nvd.nist.gov/vuln/detail/CVE-2018-17957
https://nvd.nist.gov/vuln/detail/CVE-2019-2420
https://nvd.nist.gov/vuln/detail/CVE-2019-2434
https://nvd.nist.gov/vuln/detail/CVE-2019-2435
https://nvd.nist.gov/vuln/detail/CVE-2019-2436
https://nvd.nist.gov/vuln/detail/CVE-2019-2455
https://nvd.nist.gov/vuln/detail/CVE-2019-2481
https://nvd.nist.gov/vuln/detail/CVE-2019-2482

SAP HANA

https://nvd.nist.gov/vuln/detail/CVE-2019-0243

Amazon Aurora

https://nvd.nist.gov/vuln/detail/CVE-2017-5754

Google Cloud SQL

https://nvd.nist.gov/vuln/detail/CVE-2019-3576

Apache Hive

https://nvd.nist.gov/vuln/detail/CVE-2018-17189

Vertica

https://nvd.nist.gov/vuln/detail/CVE-2018-20725

Vorherige

Datenbank-Sicherheitsdigest – Dezember 2018

Datenbank-Sicherheitsdigest – Dezember 2018

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]