DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Database Security Digest – November 2018

Bitte werfen Sie einen Blick auf die größten Vorfälle in der Datenbanksicherheit im November 2018.

Voxox

Voxox, ein Kommunikationsanbieter aus San Diego, hat eine Datenbank mit mindestens 26 Millionen Textnachrichten offengelegt, von denen die meisten Passwort-Zurücksetzungslinks, Zwei-Faktor-Authentifizierungscodes und Versandbenachrichtigungen enthalten.

Es wurde festgestellt, dass die Datenbank nicht durch ein Passwort geschützt war, was zur Offenlegung persönlicher sensibler Daten, Telefonnummern und Nachrichten mit Zwei-Faktor-Authentifizierungscodes führte. Was dieses Datenleck noch gefährlicher machte, war die Tatsache, dass die Nachrichten nahezu in Echtzeit offengelegt wurden.

Solche Informationen sind für Kriminelle, die Konten kapern, äußerst nützlich. Der Hauptgrund für diese Datenoffenlegung ist die Tatsache, dass die Datenbank nicht durch ein Passwort geschützt war. Und dies ist der erste Schritt zur Sicherung von Daten.

Es ist unmöglich für Menschen, alle proprietären IT-Assets kontinuierlich zu überwachen. Nur Maschinen können das! Die DataSunrise Database Security Suite verfügt über mehrere Module, die dies und noch viel mehr leisten können! Laden Sie jetzt Ihre Testversion herunter!

US Postal Service

60 Millionen Kontodetails von Kunden des US Postal Service wurden aufgrund einer API-Schwachstelle offengelegt.

Der USPS bot Unternehmen einen Dienst namens „Informed Visibility“ an, der es ihnen ermöglichte, nahezu in Echtzeit Tracking-Daten zu Paketen zu erhalten. Zusammen mit diesen Informationen ermöglichte die API jedoch auch jedem, der auf der offiziellen Website des Unternehmens eingeloggt war, die Kontodetails anderer Nutzer der Website abzufragen und sogar einige sensible Informationen zu ändern.

Laut Forschern könnten potenzielle Cyberkriminelle Zugang zu E-Mail-Adressen, Benutzernamen, Benutzer-IDs, Kontonummern, Straßenadressen und Telefonnummern erhalten.

Ebenfalls sagen die Forscher, dass die API-Entwickler bei der Gestaltung der API das Schlüsselelement der Cybersicherheit vergessen haben: Zugangskontrollen.

USPS behauptet, dass die mögliche Datenoffenlegung in keinem kriminellen Vorhaben genutzt wurde und sie diesen Vorfall sehr ernst nehmen.

Atrium Health

Atrium Health, ein Anbieter von Gesundheits- und Wellnessprogrammen, früher bekannt als Carolinas HealthCare Systems, hat eine Ankündigung über einen massiven Datenverstoß gemacht. Nachdem der Drittanbieter AccuDoc gehackt wurde, gab Atrium Health bekannt, dass etwa 2,65 Millionen Patientendaten möglicherweise kompromittiert wurden. Die offengelegten Daten umfassen Versicherungsinformationen der Patienten, medizinische Aufzeichnungsnummern, Rechnungsnummern, Adressen, Geburtsdaten und Sozialversicherungsnummern.

IT-Sicherheitsforscher sagen, dass das Risikomanagement bei Drittanbietern heutzutage ein sehr wichtiges Problem ist. Der Schutz Ihrer Unternehmensdatenbank kann sehr effizient sein, aber wenn es darum geht, proprietäre Daten mit Dritten zu teilen, können große Probleme auftreten. Daher sollten Unternehmen sehr vorsichtig sein, wenn sie einen Anbieter, Partner auswählen oder expandieren.

Eine forensische Untersuchung wurde von beiden Unternehmen eingeleitet.

Marriott

Marriott, die berühmte Hotelkette, hat bestätigt, dass sensible Daten von 500 Millionen ihrer Kunden möglicherweise kompromittiert wurden.

In der offiziellen Erklärung sagte das Unternehmen, dass Marriott im September 2018 von ihrem internen Sicherheitstool auf einen Versuch aufmerksam gemacht wurde, auf eine ihrer Gästereservierungsdatenbanken zuzugreifen. Das Unternehmen begann sofort mit einer Untersuchung, um herauszufinden, was vor sich ging.

Marriott erfuhr bald, dass jemand seit 2014 unbefugten Zugriff auf ihr internes Netzwerk hatte. Die abgerufenen Informationen wurden kopiert und verschlüsselt, und es wurden einige Schritte unternommen, um die Informationen zu entfernen. Im November 2018 konnte das Unternehmen schließlich die Informationen entschlüsseln.

Das Unternehmen befürchtet, dass bis zu etwa 500 Millionen Gäste, die eine Reservierung vorgenommen haben, in der offengelegten Datenbank enthalten sein könnten. Die Daten umfassen Folgendes: Namen, Postadressen, Telefonnummern, E-Mails, Passnummern, Kundenkontoinformationen, Geburtsdaten, Geschlecht, Ankunfts- und Abreisedaten, Reservierungsdaten und Kommunikationspräferenzen.

Sicherheitsupdates für Datenbanken

Oracle

https://nvd.nist.gov/vuln/detail/CVE-2018-5407

MS SQL Server

https://nvd.nist.gov/vuln/detail/CVE-2018-18982

MySQL

https://nvd.nist.gov/vuln/detail/CVE-2018-15768
https://nvd.nist.gov/vuln/detail/CVE-2018-19654
https://nvd.nist.gov/vuln/detail/CVE-2018-19558
https://nvd.nist.gov/vuln/detail/CVE-2018-19328
https://nvd.nist.gov/vuln/detail/CVE-2018-18805
https://nvd.nist.gov/vuln/detail/CVE-2018-19222

MS SQL Azure

https://nvd.nist.gov/vuln/detail/CVE-2018-8600

IBM DB2

https://nvd.nist.gov/vuln/detail/CVE-2018-1897
https://nvd.nist.gov/vuln/detail/CVE-2018-1857
https://nvd.nist.gov/vuln/detail/CVE-2018-1834
https://nvd.nist.gov/vuln/detail/CVE-2018-1802
https://nvd.nist.gov/vuln/detail/CVE-2018-1799
https://nvd.nist.gov/vuln/detail/CVE-2018-1781
https://nvd.nist.gov/vuln/detail/CVE-2018-1780

Apache Hive

https://nvd.nist.gov/vuln/detail/CVE-2018-17187
https://nvd.nist.gov/vuln/detail/CVE-2018-1314
https://nvd.nist.gov/vuln/detail/CVE-2018-11777

Vertica

https://nvd.nist.gov/vuln/detail/CVE-2018-19437

Nächste

Datenbank-Sicherheitsdigest – Dezember 2018

Datenbank-Sicherheitsdigest – Dezember 2018

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]