Timehop gehackt

Timehop — the social network for those who like to reminisce — has revealed that it fell victim to a security breach on Independence Day. The attacker managed to access an internal database stole the personal data of 21 million users from Timehop’s Cloud Computing Environment.

  • Name
  • Benutzername
  • Telefonnummer
  • Access Tokens

betanews

Domainfactory gehackt

Wie genau er in die Systeme von Domainfactory eingestiegen ist, kann beim jetzigen Stand der Recherche nicht beantwortet werden. Selbst sagt der Angreifer, er habe die Kontrolle über einen einzigen Shared Server übernommen, auf dem die Webseite des Domainfactory-Kunden gehostet wurde, der ihm Geld schuldet. Von da aus habe er sich dann im internen Domainfactory-Netz durchgehangelt.

heise

Heise nennt keine Details. Auf Twitter ist zu lesen:

  • er habe einen Webhosting Server gerootet
  • das wäre für die Daten, die er wollte, aber nicht notwendig gewesen
  • er kenne die DF-Infrastruktur jetzt besser: Ciscos IOS, LDAP, PostgreSQL
  • ASA VPN wäre nicht gepatched worden
  • Kundendatenbank war offen
  • für Backend Server wird eine eigene Software verwendet

Die Bankdaten wurden gleich mehrfach gespeichert:

Anm. bzgl. Bankdaten: BIC liegt im Klartext vor, IBAN nur zum Teil im Klartext, aber zusätzlich noch zwei Mal, einmal als Hash und einmal RSA-Verschlüsselt (also insg. drei Mal). Die Klartext-Version hat in der Mitte “X” stehen, lässt sich also leichter Bruteforcen.

 

Domainfactory veröffentlicht eine nichts sagende wichtige Kundeninformation:

Am 3. Juli 2018 behauptete eine Person im DomainFactory-Forum, Zugang zu DomainFactory-Kundendaten zu haben. Wir haben eine detaillierte Untersuchung eingeleitet und festgestellt, dass Kundendaten von einer externen Partei unbefugt abgerufen wurden. Der Zugriffsweg ist inzwischen gesichert. Wir kontaktieren alle Kunden mit der Empfehlung, ihre DomainFactory-Passwörter zu aktualisieren. Eine Anleitung zur Änderung Ihrer Passwörter finden Sie hier: (…) Wir haben die Datenschutzbehörde benachrichtigt und externe Experten mit der Untersuchung beauftragt.Der Schutz der Daten unserer Kunden steht an oberster Stelle und wir bedauern die Unannehmlichkeiten, die dieser Vorfall verursacht, sehr. Wir ergreifen geeignete Maßnahmen, um ein Wiederauftreten eines solchen Problems zu verhindern. (status.df.eu/)

Webhoster Cyanweb Solutions gehackt

Digital marketing and web provider Cyanweb Solutions lost nearly all customer data and backups after a “criminal hacking incident” that compromised one of its servers last week.

The three-staff, Perth-based company provides web design, hosting, online marketing and search engine optimisation for around 500 clients. The company did not have offsite backups in place.

crn.com.au

Der Hoster hatte keine Offsite Backups.

Schwere Sicherheitslücke in MyCloud und MyCloud Mirror

Western Digital MyCloud Platten sind recht beliebt. Über 1200 Bewertungen bei Amazon und immerhin 3,5 von 5 Sternen.

Die Geräte gibt es zwischen 2 und 8 TB ab 140 Euro. Sie speichern nicht nur Dateien wie eine klassische Platte, sondern bieten viele Extras:

  • persönlicher Cloud Speicher als sicherer Ort zu Hause und rufen Sie Ihre Medien und Dateien von überall mit Ihrem Computer, Tablet oder Smartphone ab
  • Im Gegensatz zu öffentlichen Clouds speichert der persönliche Cloud-Speicher My Cloud alle Ihre Inhalte an einem sicheren Ort im Heimnetzwerk.
  • Automatische Datensicherung für alle Ihre Computer
  • Foto- und Video-Backups für Tablets und Smartphones
  • Synchronisieren Sie Ihre Inhalte auf all Ihren Geräten
  • Problemlos minutenschnell eingerichtet
  • Reibungsloses Streaming auf allen Ihren Bildschirmen
  • Die schönsten Erinnerungen auf einfache Art und Weise teilen
  • Private Inhalte müssen privat bleiben
  • Erhöhen Sie die Speicherkapazität Ihrer persönlichen Cloud im Handumdrehen
  • usw.

Folgende Sicherheitslücken sind bekannt:

  • Remote root Shell durch File Upload. Es muss nur ein POST-Request geschickt werden. Authentifizierung nicht notwendig.
  • admin Benutzername mydlinkBRionyg und Passwort abc12345cba, das nicht geändert werden kann.

“The triviality of exploiting this issues makes it very dangerous, and even wormable,” the researcher notes. “Not only that, but users locked to a LAN are not safe either.”

Selbst wenn die Festplatte nur aus einem LAN erreichbar ist, sind XSS-Angriffe möglich. Das heisst das Opfer wird dazu gebracht, eine Seite mit entsprechendem iFrame aufzurufen. Die Default Hostnames sind bekannt.

  • kein XSRF Schutz
  • command injection
  • DoS
  • Benutzerinformationen lassen sich über eine REST-API abrufen

Versionen der betroffenen My Cloud Geräte sind unten verlinkt.

James Bercegay von GulfTech hat den Hersteller bereits im Juni letztes Jahr kontaktiert. Ein Update sollte es nach 90 Tagen geben. Nachdem es nach 180 Tagen noch immer keines gibt, hat GulfTech die Lücke veröffentlicht. Sie ist bisher noch immer nicht gepachted.

thehackernews.com

Werbefirmen sammeln E-Mail Adressen

Allerdings nicht als Klartext, sondern als Hash. Es geht dabei nicht um Spam, sondern um Besucher ohne Cookie zu identifizieren:

Die Forscher betonen, dass die von ihnen analysierten Tracking-Skripte die extrahierten E-Mail-Adressen nicht im Klartext, sondern als MD5-Hash versenden. Es gehe ihren Entwicklern offenbar nicht darum, Adressen für Spam-Kampagnen einzusammeln oder gar, Login-Daten abzufangen. Vielmehr würden sie die Hashes als eindeutige, nicht-löschbare Tracking-Identifier verwenden. Sie machen den Einsatz von Cookies unnötig und funktionieren auch dann noch, wenn der Besitzer der E-Mail-Adresse im privaten Modus surft oder an einem anderen Rechner sitzt.

Heise

Nicecash gehackt

Nicecash wurde gehackt, über 60 Millionen Dollar gestohlen.

Im Netz wird jetzt spekuliert, ob es ein Insider Job war.

Wer lässt 60 Millionen in einem Wallet liegen, auf das man online zugreifen kann?

 

Sicherheitsupdates für Android

Die meisten Android Handys bekommen keine Updates. Von Google gibt es zwar Updates, aber Hersteller wie Samsung passen sie nicht für ihre Geräte an, außer vielleicht für die neusten Modelle. Telefone, die älter als zwei Jahre sind, bekommen meistens keine mehr. Eine Zusammenfassung der Android Update Politik der einzelnen Hersteller ist bei connect.de zu finden.

Im Juni hat Google eine Liste mit Geräten veröffentlicht, die immerhin zwei Monate alte Sicherheitsupdates hatten:

Continue reading »

Schädliche Firefox Extensions

Gab es schon öfter. Und kommen wieder. Nachdem die meisten Addons nicht mit dem aktuellen Firefox Quantum (57.0) funktionieren müssen neue installiert werden. NoScript gibt es zum Beispiel noch nicht. Hier muss man natürlich aufpassen, was man installiert.

Auf der Black Hat Asia wurde letztes Jahr ein Angriff vorgestellt, bei dem ein schädliches Addon Sicherheitslücken in weit verbreiteten Addons ausnutzen konnte, z.B. in

  • NoScript mit 2,5 Millionen Downloads
  • Video DownloadHelper mit 6,5 Millionen Downloads
  • Grease Monkey, 1,5 Millionen

Immerhin war Adblock Plus mit 22 Millionen Nutzern nicht betroffen.

The pair were able to upload a malicious, but ultimately harmless proof-of-concept, extension to the Firefox extension shop even passing a requested more intensive ‘fully reviewed’ analysis.

Die neuen WebExtensions sollen allerdings besser geschützt und wenigstens von diesem Angriff nicht betroffen sein.

Continue reading »