Schlagwort: Sicherheitsleck

Daten von Millionen von Flugreisenden ungeschützt im Internet

10. August 2016

Einem Bericht der Süddeutschen Zeitung zufolge, standen auf dem Online-Reiseportal www.cosmita.com jahrelang Informationen ungeschützt im Internet. Die Nutzer dieses Portals konnten darüber Ihre Reiseunterlagen einsehen, Sitzplatzreservierungen sowie Essensbestellungen für den Flug vornehmen und sonstige Reisepläne an Freunde und Verwandte versehden. Zur Einsicht und Bearbeitung dieser Informationen benötigte der Nutzer nur seinen Flug-Buchungscode und seinen Nachnamen oder den eines Mitreisenden.

Diese recht einfache Zugriffsmöglichkeit auf die Daten des Reiseportals haben sich zuletzt auch Kriminelle zu eigen machen und damit die oberen bereits genannten personenbezogene Daten von mehreren Millionen Reisenden abgreifen können. Weitergehende technische Kenntnisse waren dafür nicht erforderlich. Jeder wäre in der Lage gewesen, diese Informationen abzurufen. Recherchen der Süddeutschen Zeitung haben ergeben, dass der Auslöser hierfür ein seit 2011 bestehendes Datenleck bei dem Ticket-Großhändler Aerticket gewesen sei. Aerticket stelle für mehrere tausend Großkunden, wie unter anderem die Unister-Töchter www.fluege.de, Flug 24, Ab in den Urlaub, Tickets aus. Etwa ein Viertel davon seien von dem Datenleck betroffen und damit einsehbar gewesen. Nach Angaben der Süddeutschen Zeitung zufolge, sei die Sicherheitslücke umgehend nach Kenntnis geschlossen worden.

Aerticket verteidige sich derzeit mit der Behauptung, dass die über fünf Jahre bestehende Sicherheitslücke gar nicht von Kriminellen entdeckt worden sei. Die Sicherheitsexperten des Ticket-Großhändlers hätten geprüft, ob eine überdurchschnittlich hohe Anzahl an Zugriffen von einzelnen IP-Adressen aus einem bestimmten WLAN-Netz zu verzeichnen gewesen seien. Dies sei jedoch zumindest in den vergangenen eineinhalb Jahren nicht der Fall gewesen. Nun läge der Fall beim Berliner Datenschutzbeauftragten zur abschließenden Prüfung. Diese könne sich jedoch noch einige Monate hinziehen. Die Konsequenzen seien noch nicht bekannt.

Skype: Kritisches Sicherheitsleck im Datenschutz

16. November 2012

Medienberichten zu folge, wurde eine große Sicherheitsgefahr in Skype entdeckt:

Beim Zurücksetzen  eines Kennwortes wird gewöhnlich bei anderen Anbietern eine E-mail zu der hinterlegten E-mailadresse geschickt. Mittels Abrufen und Anklicken eines Links aus dieser Mail, muss sich der Zurücksetzende somit identifizieren.

Nicht so bei Skype, denn hier konnten auch Unbefugte das Kennwort für beliebige andere Skype-Konten zurücksetzen, wenn sie Kenntnis einer mit dem jeweiligen Konto verknüpften E-Mail-Adresse hatten, wie vor zwei Monaten in einem russischen Forum berichtet wurde. Mit Hilfe der Beschreibung des Forums war es möglich, nur mittels der Email-Adresse einer Person ihren Skype-Account zu übernehmen

Wie Skype in seinem Blog mitteilt, konnte die Sicherheitslücke zwischenzeitlich geschlossen werden und es sei nicht mehr möglich, über die Passwort-zurücksetzen-Funktion das Skype-Konto eines anderen Nutzers zu übernehmen.

Folgende Beiträge könnten Sie auch interessieren
http://www.datenschutzticker.de/index.php/2012/11/google-sicherheitsluecken-in-eigenen-e-mail-signaturen/
http://www.datenschutzticker.de/index.php/2012/09/sicherheitsluecke-im-messenger-dienst-whatsapp/
http://www.datenschutzticker.de/index.php/2012/07/sicherheitsluecke-bei-der-singleboerse-meetone/

Android-Smartphones und -Tablets mit erheblichen Sicherheitsleck

8. Oktober 2012

Smartphones haben durch die enorme technische Entwicklung längst den Status als mobiler Alleskönner erreicht und stellen für viele Nutzer längst den wesentlichen Knotenpunkt der Onlinekommunikation dar. Fluch und Segen der Entwicklung bleibt die allgegenwärtige Verfügbarkeit der auf und in der Peripherie der Smartphones gespeicherten Daten. Ist das Gerät einmal verloren, gilt dies auch für viele darauf gespeicherte Daten. Problematisch wird dies vor allem, wenn es sich um sensible Daten handelt. Auch Samsung versuchte dieser Gefahr Herr zu werden, indem eine Fernlöschung der Daten ermöglicht wurde, die einen unbefugten Zugriff auf Daten nach Verlust verhindern soll.

Wie der Sicherheitsexperte Ravi Borgaonkar auf der Hackerkonferenz Ekoparty demonstrierte, ist es allerdings auch möglich Android-Smartphones von Samsung, bei denen der Hersteller die Android-Version mit eigener Software angepasst hat, aus der Ferne auf Werkseinstellungen zurückzusetzen. Dazu nutzte er eine Schwachstelle im Samsung-eigenen Wählprogramm, durch die einzelne Smartphone-Varianten ohne Rückfrage sogenannte USSD-Codes (Unstructured Supplementary Service Data) ausführen, die über speziell präparierte Links übergeben werden. Sendet man an ein solches Grät den Code *767*3855# wird das Handy in die Werkseinstellung zurück versetzt.

Als Einfallstelle solcher Links dienen etwa präparierte Websites, NFC-Tags oder WAP-Push-Nachrichten über SMS-Gateways. Heise-Online konnte die Sicherheitslücke zunächst in einem Test ebenfalls mit einem Samsung Galaxy S 2 mit Android 2.3.6. reproduzieren und stellte in der Folge fest, dass potentiell die meisten Smartphones und UMTS-Tablets betroffen sind, auf denen die Android Version Ice Cream Sandwich (4.0.x.) oder älter installiert ist. Als Lösung rät Heise zu einem Update auf Android 4.1.1 oder zur Installation eines Apps wie TelStop, NoTelURL oder USSD-Filter.

Kategorien: Mobile Business
Schlagwörter: ,