Database Security Digest – November 2018
Bitte werfen Sie einen Blick auf die größten Vorfälle in der Datenbanksicherheit im November 2018.
Voxox
Voxox, ein Kommunikationsanbieter aus San Diego, hat eine Datenbank mit mindestens 26 Millionen Textnachrichten offengelegt, von denen die meisten Passwort-Zurücksetzungslinks, Zwei-Faktor-Authentifizierungscodes und Versandbenachrichtigungen enthalten.
Es wurde festgestellt, dass die Datenbank nicht durch ein Passwort geschützt war, was zur Offenlegung persönlicher sensibler Daten, Telefonnummern und Nachrichten mit Zwei-Faktor-Authentifizierungscodes führte. Was dieses Datenleck noch gefährlicher machte, war die Tatsache, dass die Nachrichten nahezu in Echtzeit offengelegt wurden.
Solche Informationen sind für Kriminelle, die Konten kapern, äußerst nützlich. Der Hauptgrund für diese Datenoffenlegung ist die Tatsache, dass die Datenbank nicht durch ein Passwort geschützt war. Und dies ist der erste Schritt zur Sicherung von Daten.
Es ist unmöglich für Menschen, alle proprietären IT-Assets kontinuierlich zu überwachen. Nur Maschinen können das! Die DataSunrise Database Security Suite verfügt über mehrere Module, die dies und noch viel mehr leisten können! Laden Sie jetzt Ihre Testversion herunter!
US Postal Service
60 Millionen Kontodetails von Kunden des US Postal Service wurden aufgrund einer API-Schwachstelle offengelegt.
Der USPS bot Unternehmen einen Dienst namens „Informed Visibility“ an, der es ihnen ermöglichte, nahezu in Echtzeit Tracking-Daten zu Paketen zu erhalten. Zusammen mit diesen Informationen ermöglichte die API jedoch auch jedem, der auf der offiziellen Website des Unternehmens eingeloggt war, die Kontodetails anderer Nutzer der Website abzufragen und sogar einige sensible Informationen zu ändern.
Laut Forschern könnten potenzielle Cyberkriminelle Zugang zu E-Mail-Adressen, Benutzernamen, Benutzer-IDs, Kontonummern, Straßenadressen und Telefonnummern erhalten.
Ebenfalls sagen die Forscher, dass die API-Entwickler bei der Gestaltung der API das Schlüsselelement der Cybersicherheit vergessen haben: Zugangskontrollen.
USPS behauptet, dass die mögliche Datenoffenlegung in keinem kriminellen Vorhaben genutzt wurde und sie diesen Vorfall sehr ernst nehmen.
Atrium Health
Atrium Health, ein Anbieter von Gesundheits- und Wellnessprogrammen, früher bekannt als Carolinas HealthCare Systems, hat eine Ankündigung über einen massiven Datenverstoß gemacht. Nachdem der Drittanbieter AccuDoc gehackt wurde, gab Atrium Health bekannt, dass etwa 2,65 Millionen Patientendaten möglicherweise kompromittiert wurden. Die offengelegten Daten umfassen Versicherungsinformationen der Patienten, medizinische Aufzeichnungsnummern, Rechnungsnummern, Adressen, Geburtsdaten und Sozialversicherungsnummern.
IT-Sicherheitsforscher sagen, dass das Risikomanagement bei Drittanbietern heutzutage ein sehr wichtiges Problem ist. Der Schutz Ihrer Unternehmensdatenbank kann sehr effizient sein, aber wenn es darum geht, proprietäre Daten mit Dritten zu teilen, können große Probleme auftreten. Daher sollten Unternehmen sehr vorsichtig sein, wenn sie einen Anbieter, Partner auswählen oder expandieren.
Eine forensische Untersuchung wurde von beiden Unternehmen eingeleitet.
Marriott
Marriott, die berühmte Hotelkette, hat bestätigt, dass sensible Daten von 500 Millionen ihrer Kunden möglicherweise kompromittiert wurden.
In der offiziellen Erklärung sagte das Unternehmen, dass Marriott im September 2018 von ihrem internen Sicherheitstool auf einen Versuch aufmerksam gemacht wurde, auf eine ihrer Gästereservierungsdatenbanken zuzugreifen. Das Unternehmen begann sofort mit einer Untersuchung, um herauszufinden, was vor sich ging.
Marriott erfuhr bald, dass jemand seit 2014 unbefugten Zugriff auf ihr internes Netzwerk hatte. Die abgerufenen Informationen wurden kopiert und verschlüsselt, und es wurden einige Schritte unternommen, um die Informationen zu entfernen. Im November 2018 konnte das Unternehmen schließlich die Informationen entschlüsseln.
Das Unternehmen befürchtet, dass bis zu etwa 500 Millionen Gäste, die eine Reservierung vorgenommen haben, in der offengelegten Datenbank enthalten sein könnten. Die Daten umfassen Folgendes: Namen, Postadressen, Telefonnummern, E-Mails, Passnummern, Kundenkontoinformationen, Geburtsdaten, Geschlecht, Ankunfts- und Abreisedaten, Reservierungsdaten und Kommunikationspräferenzen.
Sicherheitsupdates für Datenbanken
Oracle
https://nvd.nist.gov/vuln/detail/CVE-2018-5407MS SQL Server
https://nvd.nist.gov/vuln/detail/CVE-2018-18982MySQL
https://nvd.nist.gov/vuln/detail/CVE-2018-15768https://nvd.nist.gov/vuln/detail/CVE-2018-19654
https://nvd.nist.gov/vuln/detail/CVE-2018-19558
https://nvd.nist.gov/vuln/detail/CVE-2018-19328
https://nvd.nist.gov/vuln/detail/CVE-2018-18805
https://nvd.nist.gov/vuln/detail/CVE-2018-19222
MS SQL Azure
https://nvd.nist.gov/vuln/detail/CVE-2018-8600IBM DB2
https://nvd.nist.gov/vuln/detail/CVE-2018-1897https://nvd.nist.gov/vuln/detail/CVE-2018-1857
https://nvd.nist.gov/vuln/detail/CVE-2018-1834
https://nvd.nist.gov/vuln/detail/CVE-2018-1802
https://nvd.nist.gov/vuln/detail/CVE-2018-1799
https://nvd.nist.gov/vuln/detail/CVE-2018-1781
https://nvd.nist.gov/vuln/detail/CVE-2018-1780
Apache Hive
https://nvd.nist.gov/vuln/detail/CVE-2018-17187https://nvd.nist.gov/vuln/detail/CVE-2018-1314
https://nvd.nist.gov/vuln/detail/CVE-2018-11777