Kategorie: Hackerangriffe
28. Mai 2020
Der Dialyseanbieter Fresenius Medical Care (FMC) bestätigt, dass es in Folge eines Hackerangriffs zur illegalen Veröffentlichung von Patientendaten gekommen ist. Die Patientendaten stammen aus einigen Dialysezentren in Serbien.
FMC teilte mit, dass
„ein Zusammenhang mit einem IT-Vorfall
vor einigen Wochen besteht, der Teile der IT-Systeme von Fresenius betroffen
hatte, und dass Hacker in der Lage waren, bestimmte Daten zu stehlen“. Diesbezüglich
wurden Untersuchungen durchgeführt. Die Betriebsabläufe des Unternehmens in
Serbien werden fortgesetzt und die medizinische Versorgung von Patienten in
Serbien sei sichergestellt.
Das Unternehmen hat gegen die unbekannten Täter Strafanzeige
erstattet und will mit den zuständigen Behörden zusammenarbeiten. Mit den
Patienten, die von dem Datendiebstahl und deren illegalen Veröffentlichung
betroffen sind, will FMC Kontakt
aufnehmen.
Das Unternehmen „bedauert
diesen Eingriff in die Privatsphäre einiger Patienten zutiefst und tut sein
Möglichstes, um die Veröffentlichung weiterer Daten zu verhindern und Schaden
von betroffenen Patienten und anderen Personen bzw. Partnern
abzuwenden. Interne und externe Spezialisten arbeiten kontinuierlich
daran, weitere potenzielle Angriffe, Datendiebstähle oder illegale
Veröffentlichungen von Daten zu verhindern.“
20. Mai 2020
Die Fluggesellschaft räumte ein, dass sie Ziel eines Hackerangriffs geworden ist. Die Angreifer hatten Zugriff auf die Daten von rund neun Millionen Kunden. Auch Kreditkartendaten sind teilweise betroffen.
Dies teilte Easyjet am Dienstag mit. Die Angreifen konnten unter anderem auf E-Mail-Adressen sowie Reisedetails zugreifen. Zum jetzigen Zeitpunkt gebe es keine Hinweise darauf, dass die Daten missbraucht worden seien. Die Airline will alle Betroffenen bis zum 26. Mai über den Angriff informieren, um so das Risiko möglicher Phishing-Attacken einzudämmen. „Wenn Sie nicht kontaktiert werden, dann wurde auf ihre Daten nicht zugegriffen“, betonte die Airline.
Wer nicht darauf warten möchte, kann hier durch Eingabe seiner Email auf der Website „Have I been pwned?“ überprüfen, ob er vom Datenleck betroffen ist.
Bei mehr als 2200 Kunden gelang es den Hackern darüber hinaus die Kreditkartendaten zu erbeuten. Erste Hinweise auf die Attacke hatte Easyjet im Januar 2020. Wer dahinter steckt, ist dem Unternehmen nicht bekannt.
„Es tut uns leid, dass das passiert ist“, verlautbarte das Unternehmen. Die zuständigen Behörden seien informiert.
30. April 2020
Das amerikanische Pharma-Unternehmen ExecuPharm teilt in einem Brief seinen Angestellten und der Generalstaatsanwaltschaft in Vermont mit, dass es am 13. März von einem Hackerangriff getroffen worden sei. Die Hacker forderten Lösegeld und warnten davor, dass auf Sozialversicherungsnummern, Steuer-IDs, IBAN-Nummern, Kreditkartennummern und weitere Daten zugegriffen worden sein könnte.
Die Mitarbeiter von ExecuPharm erhielten Phishing-E-Mails
von unbekannten Personen. Nach einer Untersuchung stellte ExecuPharm fest, dass
die Personen, die hinter der Verschlüsselung und dem Versand dieser E-Mails
standen, möglicherweise auf ausgewählte personenbezogene Daten des
ExecuPharm-Personals sowie auf personenbezogene Daten ausgewählter Mitarbeiter
von Parexel, deren Informationen im Datennetzwerk von ExecuPharm gespeichert
waren, zugegriffen und/oder diese weitergegeben haben.
Das amerikanische Pharma-Unternehmen hat die Behörde in den
Vereinigten Staaten darüber informiert und eine Cybersecurity-Firma beauftragt,
den Vorfall vollständig aufzuklären.
28. April 2020
Nintendo hat bestätigt, dass Hacker sich Anfang April unbefugten Zugriff auf 160.000 Nintendo-Accounts verschafft haben und zahlreiche Daten abgegriffen haben könnten. Laut Nintendo: „Die Untersuchungen sind noch im Gange. Derzeit gibt es jedoch keine Hinweise auf einen unerlaubten Zugriff auf die Datenbanken, Server oder Services von Nintendo.“ Aus Sicherheitsgründen sei es ab sofort nicht mehr möglich, sich über eine Nintendo-Network-ID bei einem Nintendo-Account anzumelden.
Unter den erbeuteten Informationen sind neben der Nintendo-ID, der Nickname, das Geburtsdatum, die Region und die E-Mail-Adresse des Nutzers. Im Laufe der Tage meldeten auch immer mehr User aus Deutschland, dass Geld von verknüpften PayPal-Konten abgebucht wurde. Kreditkarten-Daten sollen sich laut Nintendo jedoch nicht unter den gestohlenen Daten befinden.
Nintendo Deutschland hat sich gemeldet und rät dazu, den Account mit einer Zweistufen-Bestätigung zu schützen, um einen unerlaubten Zugriff zu vermeiden. Zur weiteren Sicherheit wird Nintendo alle Nutzer informieren, die von der Datenpanne betroffen sind. Außerdem empfiehlt Nintendo Kreditkarteninformationen und verknüpfte PayPal-Konten aus dem Account zu entfernen. In der Stellungnahme hat sich Nintendo für die Vorkommnisse entschuldigt.
23. April 2020
Der unabhängige Android-App-Store Aptoide hat ein gewaltiges Datenleck zu beklagen. Der Anbieter teilte am 18. April mit, dass seine Datenbank gehackt wurde. Dabei sind Nutzerdaten von über 20 Millionen Kunden abgeflossen. Im Anschluss veröffentlichten die Hacker die erbeuteten Daten auf bekannten Hacker-Foren. Auch der Passwort-Prüfdienst „Have I Been Pwned“ (HIBP) bestätigte den Data Breach.
Welche Daten wurden geleaked?
Nach Aptoides Angaben griffen die Hacker jeweils die E-Mail-Adressen sowie „verschlüsselte“ Passwörter ab. Zusätzlich sollen aber auch die IP-Adressen, Benutzernamen und Details zum verwendeten Webbrowser kopiert worden sein. Außerdem wurden die Passwörter mit dem sogennanten „Secure Hash Algorithm“ (SHA) der Stufe 1 ohne Salt (=Salz; eine Methodik aus der Kryptologie) verschlüsselt. Wegen Sicherheitsbedenken wird allgemein vom Verweden dieser Hash-Funktion abgeraten. Auf die Sicherheit der Verschlüsselung sollte man sich also lieber nicht verlassen.
Aptoide appeliert an Nutzer: Ändert eure Passwörter zügig!
Die Passwort-Hashes sind nach Angaben des Anbieters allerdings nur dann Teil des Leaks, wenn diese auch extra für den Store angelegt wurden. Wer sich also über Google oder Facebook angemeldet hat, kann insofern beruight sein, da dann nur eine zufällig gespeicherte Zeichenfolge erbeutet wurde. Wer aber sein Passwort selbst angelegt hat, sollte dieses umgehend ändern.
Wie finde ich heraus, ob ich betroffen bin?
HIBP hat die geleakted Daten bereits in seine Datenbank implementiert. Unter diesem Link können Sie umgehend prüfen, ob Sie betroffen sind.
16. April 2020
Seit Wochen überschlagen sich die Nachrichten zur Videokonferenz App Zoom, das seit der Corona Krise eine rasante Nachfrage zu verzeichnen hat, gleichzeitig aber auch mit erheblicher Kritik hinsichtlich seiner Datensicherheit kämpft (wir berichteten hierzu am 01.04.2020 und 09.04.2020).
Das Unternehmen arbeitet laut eigener Aussage seitdem auf Hochtouren daran seine Datensicherheit zu verbessern.
Politiker raten von Nutzung ab
Deutsche Politiker raten momentan jedoch weiter von der Verwendung des Videodienstes ab. Solange es dem Unternehmen nicht gelinge, sämtliche Sicherheits- und Datenschutzvorwürfe vollständig zu entkräften, könne Zoom nicht als Videokonferenzdienst empfohlen werden.
Der Vorsitzende des Digitalausschusses im Bundestag, Manuel Höferlin (FDP) äußert sich hierzu sehr deutlich: „Solange Zoom nicht nachweisen kann, dass ihre Software sicher und vertrauenswürdig ist, sollten deutsche Unternehmen auf die Nutzung dieser Video-Plattform weitestgehend verzichten. Das sollte zumindest für alle Besprechungen gelten, bei denen das erforderliche Vertraulichkeitsmaß höher ist als bei einer Postkarte.“
Vor allem aber auch Behörden und Ministerien wird von einer Nutzung der App abgeraten. Politiker von CDU und FDP befürchten einen Zugriff Chinas auf die Nutzerdaten und Inhalte.
Das Unternehmen hatte noch im Februar Konferenzen über Server in China geleitet. Auch wenn das Problem nach eigener Aussage des Unternehmens mittlerweile behoben sei, sind deutsche Politiker weiterhin der Ansicht, dass der Zugriff chinesischer Behörden auf Zoom-Daten nicht ausgeschlossen werden könne. Vor allem da sich nach wie vor ein Rechenzentrum des Unternehmens in China befinde.
Zoom reagiert
Per Blog-Post gab das Unternehmen nun bekannt, dass zahlende Kunden ab dem 18.April die Möglichkeit erhalten sollen, Rechenzentren-Regionen selbst auszuwählen. Somit soll der zahlende Kunde selbst entscheiden können, über welche Länder die Daten und Konferenzen geleitet werden. Als Regionen zur Auswahl stehen derzeit die USA, Kanada, Europa, Indien, Australien, China, Lateinamerika, und die Region Japan / Hong Kong.
Nutzer die die App weiterhin kostenlos nutzen wollen, haben diese Möglichkeit allerdings nicht.
Fazit
Es bleibt abzuwarten, ob Zoom es schafft seine Funktionen sicherer zu gestalten. Massive datenschutzrechtliche Bedenken bestehen in jedem Falle weiterhin und auch die Politik hat deutlich gemacht, dass Zoom für sensible Daten oder vertrauliche Informationen keinesfalls verwendet werden sollte.
Update
Wie jetzt bekannt wurde, werden die Zugangsdaten von über 500.000 Zoom-Accounts im Darknet für weniger als einen Penny zum Kauf angeboten. In einigen Fällen werden die Daten auch kostenlos zur Verfügung gestellt. Der Verkauf soll seit Anfang April 2020 laufen.
Die Daten wurden vermutlich durch sogenannte „Credential Stuffing“-Angriffe gesammelt. Hierbei versuchen Hacker sich bei Online-Diensten – wie in diesem Fall Zoom – mit Login-Daten anzumelden, die aus älteren Datenpannen stammen. Denn: Viele Nutzer verwenden dasselbe Passwort für mehrere Dienste. Dies kommt Hackern beim „Credential Stuffing“ zugute. Erfolgreiche Anmeldungen werden dann in Listen zusammengestellt und an andere Hacker verkauft. Die Listen beinhalten neben den E-Mail-Adressen auch Passwortkombinationen.
Zoom erklärte, gegen diese Angriffe bereits umfangreiche Maßnahmen ergriffen zu haben. So habe man Firmen damit beauftragt, die Passwort-Dumps und Tools, mit denen diese erstellt wurden, ausfindig zu machen. Außerdem würden als kompromittiert erkannte Zoom-Accounts gesperrt und Nutzer würden gebeten, ihre Passwörter zu ändern. Zoom betonte außerdem, dass große Unternehmenskunden mit eigenen Single-Sign-On-Systeme im Allgemeinen nicht von den Angriffen betroffen seien.
Bei „Credential Stuffing“ handelt es sich um kein Zoom-spezifisches Sicherheitsproblem. Jeder Dienst kann Opfer solcher Angriffe werden. Doch insbesondere während der Corona-Krise, in der ein erhöhter Bedarf an Video-Kommunikationsmitteln besteht, sind die Nutzerdaten von Zoom für Hacker wohl von besonderem Interesse.
26. März 2020
Laut IT-Sicherheitsexperten machen sich Kriminelle die momentanen Sorgen und Ängste von Nutzern, hinsichtlich des Coronavirus, zu Nutze.
Demnach würden Kriminelle unter anderem gefälschte E-Mails zu Coronavirus-Themen im Namen der Weltgesundheitsorganisation WHO oder im Namen von Hotelketten, Fluggesellschaften und Fitnessstudios verschicken. Ziel sei es, an die Passwörter der Nutzer zu gelangen. Mit Anklicken der in den E-Mails enthaltenen Links werde der Nutzer auf eine Pishing-Seite weitergeleitet oder es lade sich eine Schadsoftware im Hintergrund.
Aber auch das von vielen Arbeitgebern im Zuge der Corona-Krise angesetzte Homeoffice berge laut den Experten große Risiken. Da viele Arbeitscomputer nun dauerhaft außerhalb der Firmennetzwerke liefen, seien diese auch nicht mehr so gut geschützt. Die Experten empfehlen daher Arbeitgebern, die Ihren Mitarbeitern einen Fernzugriff auf das Firmennetzwerk ermöglichen, den Zugang mit einer Zwei-Faktor-Authentifizierung abzusichern – lesen Sie in diesem Zusammenhang auch gerne unseren Beitrag aus der Themenreihe.
Vor allem aber bestehe für öffentliche Gesundheitseinrichtungen ein hohes Risiko, Opfer von Cyberangriffen zu werden. Insbesondere Krankenhäuser seien ein beliebtes Ziel für Attacken mit sogenannten Erpresserprogrammen, die die IT-Systeme verschlüsseln und anschließend ein Lösegeld fordern. Für einige Kriminelle sei gerade die Corona-Krise ein großer Anreiz um Krankenhäuser anzugreifen.
23. Januar 2020
Laut Pressemitteilung vom 22.01.2020 könnte die Landeshauptstadt Potsdam Opfer eines Cyberangriffs geworden sein. Infolgedessen wurde der Server der Verwaltung vor etwa 48 Stunden offline gestellt.
Der Oberbürgermeister Mike Schubert erklärte: „Wir haben unsere Systeme aus Sicherheitsgründen offline gestellt, weil wir von einer illegalen Cyberattacke ausgehen müssen“. Weiterhin versicherte er: „Wir arbeiten mit Hochdruck daran, dass die betroffenen Systeme der Verwaltung baldmöglichst wieder eingeschaltet werden und wir wieder sicher arbeiten können. Bis dahin bitten wir um Geduld bei allen Anliegen, die die Bürgerserviceeinrichtungen betreffen“.
Hintergrund für die Vermutung eines Cyberangriffs waren laut Schubert „zahlreiche Ungereimtheiten“, die in den letzten 2 Tagen in den zentralen Netzzugängen festgestellt worden sind. Angeblich wurde, aufgrund einer „Schwachstelle im System eines externen Anbieters“, von außen versucht unberechtigt Daten vom Server der Stadt Potsdam abzurufen. Zusätzlich wurde probiert eine Schadstoffsoftware zu installieren.
Über das Ausmaß der Schäden kann zurzeit noch keine Aussage getroffen werden. Die It-Experten untersuchen momentan die Systeme, versuchen sie wiederherzustellen und die Datensicherheit zu gewährleisten. Die Stadt Potsdam hat Anzeige gegen Unbekannt gestellt und die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA) Brandenburg informiert. Die Verwaltungsvorgänge sind zurzeit stark eingeschränkt. Die Verwaltung ist nicht mehr per E-Mail, sondern nur noch telefonisch erreichbar.
7. Januar 2020
Nachdem Anfang Dezember 2019 bei der Justus-Liebig-Universität Gießen (JLU) ein Hackerangriff auf die IT-Infrastruktur entdeckt wurde und seitdem alle Server abgeschaltet worden waren, nimmt die Universität nun wieder ihren Normalbetrieb auf. Bei dem Angriff handelte es sich vermutlich um die Malware Emotet. Die Lehrplattform Stud.IP, die Homepage, das Prüfungsverwaltungssystem sowie die digitalen Systeme der Universitätsbibliothek gingen oder sollen in Kürze wieder online gehen.
Im Rahmen der Wiederherstellungsarbeiten wurden bereits rund 60 Prozent der Studierenden-Passwörter neu vergeben – insgesamt wurden 38.000 Passwörter zurückgesetzt. Der Zugriff auf interne Windowslaufwerke soll im Februar erfolgen.
Durch das frühzeitige Herunterfahren aller Universitätsserver konnte ein Verlust aller wissenschaftlichen Daten und die Datenbestände verhindert werden, versichert ein Sprecher der Hochschule.
25. November 2019
Der chinesische Smartphone-Hersteller OnePlus räumt zum zweiten Mal innerhalb von zwei Jahren eine Datenpanne ein. Das Sicherheitsteam des Unternehmens hat im OnePlus-Forum veröffentlicht, dass Unbefugte über einen unbekannten Zeitraum auf Kundendaten zugreifen konnten. Auch Käufer aus Deutschland sollen betroffen sein.
OnePlus teilt mit, dass der Name, die Kontaktnummer, die E-Mail-Adresse
und die Lieferadresse bestimmter Benutzer möglicherweise offengelegt wurden. Das
Unternehmen versichert jedoch, dass Zahlungsinformationen, Passwörter und
Accounts sicher seien. Die Betroffenen seien per E-Mail über den Vorfall
informiert worden. OnePlus schreibt im Online-Forum, dass als Folge dieses
Sicherheitsvorfalls Betroffene möglicherweise Spam- und Phishing-E-Mails
erhalten. Es bleibt noch unbekannt,
wie viele Kunden betroffen sind und wie
lange Unbefugte die Daten abgreifen konnten.
In seiner Bekanntmachung bittet das Unternehmen um Entschuldigung und verspricht,
dass OnePlus weitere Maßnahmen ergreifen will, um den Schutz der Kundendaten zu
verbessern. Dabei wird das Unternehmen im nächsten Monat mit einer Sicherheitsplattform zusammenarbeiten, um
die Datensicherheit zu verbessern.
