Database Security Digest – Juni 2018
Bitte werfen Sie einen Blick auf die größten Datenbanksicherheitsvorfälle im Juni 2018.
Exactis
Exactis ist eine Marketing- und Datenaggregationsfirma, von der Sie wahrscheinlich noch nie gehört haben. Aber seien Sie sicher, dass dieses Unternehmen viel über Sie weiß. Ein Sicherheitsforscher hat herausgefunden, dass die Datenbank dieses Unternehmens auf einem öffentlich zugänglichen Server ungeschützt gelassen wurde. Diese Datenbank enthält etwa 340 Millionen Datensätze. Die meisten davon sind Verbraucherdaten.
Glücklicherweise enthielten die Daten in der Exactis-Datenbank keine SSN- oder Bankkartendaten. Aber sie enthielten andere Arten von persönlich identifizierbaren Informationen wie Telefonnummern, Wohnadressen und E-Mails. Diese Informationen können leicht für Identitätsdiebstahl verwendet werden.
Und Sie werden überrascht sein, wie viel Exactis über Sie weiß. Jeder Verbraucherdatensatz wurde mit mehr als 400 Variablen beschrieben. Das Unternehmen weiß also, welche Hobbys die Menschen haben, ihre religiösen und politischen Ansichten, ihren Familienstand, Haustiere (falls vorhanden), Kaufgewohnheiten usw.
Was wirklich überraschend ist, ist, dass diese persönlichen Informationen so leicht hackbar herumlagen!
Ticketfly
Ticketfly ist ein Unternehmen, das uns Tickets für verschiedene Veranstaltungen verkauft. Anfang Juni wurde bekannt, dass ein Hacker die Kontrolle über die Website des Unternehmens übernommen hatte und eine Zahlung in Bitcoin forderte, um sie freizugeben und Details über die Sicherheitslücke der Website zu teilen. Das Management des Unternehmens lehnte jedoch eine solche Vereinbarung ab und der unbekannte Hacker stellte Benutzerdaten ins Internet. Danach nahm Ticketfly seine Website als Sicherheitsmaßnahme offline.
Es wurde berichtet, dass dieser Datenverstoß möglicherweise die Daten von 26 Millionen Ticketfly-Kunden leicht offengelegt hat. Die Daten umfassen E-Mails, Wohn- und Rechnungsadressen, Telefonnummern usw. Es wird angenommen, dass die Bankkartendaten und Passwörter der Ticketfly-Kunden nicht kompromittiert wurden, aber man kann sich nie sicher sein.
Dieser Datenverstoß von Ticketfly und das anschließende Herunterfahren der Website hinterließen Veranstaltungsorganisatoren, Musik- und Comedy-Clubs ohne ein klares Bild darüber, wie viele Tickets verkauft wurden, und störten offensichtlich ihr Geschäft.
Dixons Carphone
Dixons Carphone ist ein multinationaler Elektro- und Telekommunikationshändler und Dienstleistungsunternehmen mit Hauptsitz in London. Anfang dieses Monats wurde bekannt, dass das Unternehmen gehackt wurde. Informationen zu fast 6 Millionen Bankkarten wurden gestohlen. Die Hacker erhielten auch Namen, E-Mail-Adressen und Anmeldedaten.
Dieser Vorfall folgt auf den Verstoß von 2015, für den das Unternehmen mit einer Geldstrafe von £400.000 belegt wurde, und nun schauen die Behörden sehr genau hin, warum dies erneut geschieht und warum keine Vorsichtsmaßnahmen gegen Datenlecks getroffen wurden. Dixons Carphone hatte Glück, dass dieser Vorfall vor der Einführung der DSGVO geschah, die viel höhere Geldstrafen für solche Datenverluste verspricht.
Datenbanksicherheitsupdates
SAP HANA
https://nvd.nist.gov/vuln/detail/CVE-2018-2424https://nvd.nist.gov/vuln/detail/CVE-2018-2425