Datenbanksicherheitsdigest – Januar 2019
Bitte werfen Sie einen Blick auf die größten Datenbanksicherheitsvorfälle im Januar 2019.
Turm von Salem
Während andere Menschen ihre Weihnachtsferien genossen, waren mehr als 7,5 Millionen Spieler des berühmten Online-Spiels Turm von Salem von einem Datenleck betroffen, das durch die Entwickler des Spiels BlankMediaGames (BMG) verursacht wurde.
DeHashed, ein Anbieter von durchsuchbaren gehackten Datenbanken, sagte in einem Blogbeitrag, er habe eine anonyme E-Mail erhalten, in der ihm ein vollständiger Fundus der gerade kompromittierten Daten angeboten wurde.
Das Unternehmen erklärte, der Vorfall sei aufgrund einer lokalen Dateiinklusion/Remote-Dateiinklusion-Schwachstelle passiert.
Zu den durchgesickerten Daten gehören unter anderem: Benutzernamen, E-Mails, Passwörter, IP-Adressen, alle In-Game-Aktivitäten und, was noch wichtiger ist, Zahlungsinformationen. Die Gesamtzeilenanzahl beträgt: 8.388.894, davon 7.633.234 eindeutige E-Mail-Adressen.
Glücklicherweise speichert BMG keine Zahlungs- und Bankkartendaten, aber die oben genannten gehackten Informationen könnten leicht verwendet werden, um nachfolgende Phishing-Versuche zu starten.
Es dauerte einige Tage, bis BlankMediaGames auf den Vorfall reagierte. Das Unternehmen entschuldigte sich bei allen Kunden und machte das „schreckliche Timing“ des Hacks verantwortlich.
202 Millionen Lebensläufe
Eine einfache Suche bei BinaryEdge oder Shodan kann sehr interessante Ergebnisse liefern. Zum Beispiel eine riesige MongoDB-Datenbank, die detaillierte Lebensläufe für über 202 Millionen Arbeitssuchende aus China enthält.
Der riesige 854GB-Datensatz enthielt Daten zu 202,7 Millionen chinesischen Personen, die nach einem Job suchen. Zu den sensiblen Daten gehörten Mobiltelefonnummer, E-Mail, Familienstand, Kinder, Informationen zu politischen Ansichten, Größe, Gewicht, Führerschein, Bildungsstand, Gehaltserwartungen und andere persönliche Informationen. Cyberkriminelle können diese Informationen leicht verwenden und werden es auch tun, um gut geplante Phishing-Angriffe durchzuführen.
Die Herkunft der Daten ist unbekannt, aber einige IT-Sicherheitsforscher glauben, dass all diese Informationen von Drittanbieter-Lebenslaufseiten abgeschöpft wurden. Andere glauben, dass diese Daten aus einem GitHub-Repository stammen, das einen Web-App-Quellcode enthielt, der ein ähnliches Muster wie die in den durchgesickerten Lebensläufen verwendeten aufwies.
Diese Datenbank wurde kurz nach der öffentlichen Bekanntgabe auf Twitter gesichert, aber es ist unbekannt, wie lange sie vollständig offengelegt dort lag. Die IT-Sicherheitsforscher sagen, dass sie möglicherweise von mindestens einem Dutzend IPs zugegriffen wurde.
Google gemäß DSGVO bestraft
In Frankreich wurde Google gemäß den Anforderungen der DSGVO mit einer Geldstrafe von 50 Mio. Euro (57 Mio. USD, 44 Mio. GBP) belegt. Das geschah, weil das Unternehmen nicht mitgeteilt hatte, wie ihre Daten verwendet werden.
CNIL, der französische Regulierer, verhängte die Geldstrafe nach Beschwerden von zwei Rechten, noyb und La Quadrature du Net (LQDN).
CNIL sagt, es hat zwei Verstöße gegen die Allgemeine Datenschutzverordnung (GDPR) festgestellt.
Sicherheitsaktualisierungen für Datenbanken
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2019-2547https://nvd.nist.gov/vuln/detail/CVE-2019-2548
https://nvd.nist.gov/vuln/detail/CVE-2019-2549
https://nvd.nist.gov/vuln/detail/CVE-2019-2550
https://nvd.nist.gov/vuln/detail/CVE-2019-2552
https://nvd.nist.gov/vuln/detail/CVE-2019-2553
https://nvd.nist.gov/vuln/detail/CVE-2019-2554
https://nvd.nist.gov/vuln/detail/CVE-2019-2555
https://nvd.nist.gov/vuln/detail/CVE-2019-2545
https://nvd.nist.gov/vuln/detail/CVE-2019-2546
MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2019-2529https://nvd.nist.gov/vuln/detail/CVE-2019-2537
https://nvd.nist.gov/vuln/detail/CVE-2017-18359
https://nvd.nist.gov/vuln/detail/CVE-2019-6799
MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-14704https://nvd.nist.gov/vuln/detail/CVE-2018-15719
https://nvd.nist.gov/vuln/detail/CVE-2018-17957
https://nvd.nist.gov/vuln/detail/CVE-2019-2420
https://nvd.nist.gov/vuln/detail/CVE-2019-2434
https://nvd.nist.gov/vuln/detail/CVE-2019-2435
https://nvd.nist.gov/vuln/detail/CVE-2019-2436
https://nvd.nist.gov/vuln/detail/CVE-2019-2455
https://nvd.nist.gov/vuln/detail/CVE-2019-2481
https://nvd.nist.gov/vuln/detail/CVE-2019-2482