Am 22. November gaben die DataViper-Experten Vinnie Troy und Bob Dyachenko die Entdeckung einer großen (gelinde gesagt) Datenbank bekannt, die personenbezogene Daten von mehr als einer Milliarde Menschen enthält (
Nachrichten , Originalbericht). Der Elasticsearch-Server war ohne Autorisierung verfügbar, insgesamt wurden dort mehr als 4 Terabyte Daten gespeichert. Gemessen an den in den Aufzeichnungen verzeichneten Marken waren zwei Unternehmen, die sich professionell mit der Erhebung und Speicherung personenbezogener Daten befassten, die Informationsquelle. Die größte Datenbank wurde angeblich von People Data Labs gesammelt: Ein offener Server enthielt 3 Milliarden Datensätze (mit Duplikaten), darunter mehr als 650 Millionen E-Mail-Adressen.
Aber die Post ist nicht beschränkt auf. Die Forscher verglichen Daten aus der People Data Labs-Datenbank mit Informationen auf einem unsicheren Server und suchten dort nach Aufzeichnungen über sich. Wir haben einen fast vollständigen Zufall: Daten in sozialen Netzwerken, bekannte Postanschriften, Telefonnummern (einschließlich einer Nummer, die nirgendwo verwendet wurde, und nur ein Telekommunikationsbetreiber konnte über seine Zugehörigkeit zu einer bestimmten Person Bescheid wissen). Sowie die Adresse des Wohnsitzes genau auf die Stadt und Koordinaten. Wem der offene Server gehört, ist nicht klar, er wurde auf der Google-Cloud-Plattform gehostet, die keine Kundendaten preisgibt. Es ist möglich, dass der Serverbesitzer in der Regel ein Dritter ist, der rechtmäßig oder nicht sehr stark Zugang zu den Informationen erlangt hat.
Es ist klar, dass Aggregatoren personenbezogener Daten nicht an einem solchen Leck interessiert sind - sie verdienen durch den Verkauf von Informationen. Ein versehentliches Durchsickern auf Seiten eines solchen Unternehmens ist ebenfalls unwahrscheinlich, da Datenbanken konkurrierender Unternehmen auf einem Server gespeichert waren. Dies sind natürlich keine Passwortdatenbanken (die in der Vergangenheit durch Millionen von Datensätzen durchgesickert sind), sie verursachen keinen direkten Schaden. Sie können jedoch die Arbeit von Cyberkriminellen erleichtern, die am Social Engineering beteiligt sind. Wir dürfen nicht vergessen, dass die meisten dieser Informationen von uns freiwillig übermittelt werden - in LinkedIn-Profilen, Facebook-Posts und so weiter. Irgendwo in fast jedem aktiven Netzwerkbenutzer wird eine sehr detaillierte persönliche Datei gespeichert, die ständig mit neuen Daten aktualisiert wird. Das Leck erlaubt es uns, die Größenordnung abzuschätzen: Nur zwei private Unternehmen, die höchstwahrscheinlich nicht mit dem Staat verbunden sind und Informationen aus offenen Quellen sammeln, besitzen Daten zu etwa 15% der Weltbevölkerung.
Facebook kündigte die Schließung einer schwerwiegenden Sicherheitslücke im WhatsApp Messenger an (
News , offizielles
Bulletin ). Bei der Verarbeitung von Metadaten einer Videodatei im MP4-Format kann es zu einem Pufferüberlauf kommen, der zu Anwendungsabstürzen oder zur Ausführung von willkürlichem Code führt. Es ist einfach, die Sicherheitsanfälligkeit auszunutzen: Es reicht aus, die Nummer des Opfers zu kennen und ihr eine vorbereitete Videodatei zu senden. Wenn das automatische Herunterladen von Inhalten in der Anwendung aktiviert ist, sind vom Benutzer keine zusätzlichen Aktionen erforderlich (Schlussfolgerung: Es ist besser, das automatische Herunterladen zu deaktivieren).
Die Sicherheitsanfälligkeit ähnelt einem anderen WhatsApp-Problem, das
im Mai dieses Jahres entdeckt und geschlossen
wurde . In diesem Fall wurde im Modul ein Pufferüberlauf für die VOIP-Kommunikation aufgerufen und die Bedienung war einfacher - Sie müssen nicht einmal etwas senden, es reicht aus, einen „falschen“ Anruf zu initiieren. Die Folgen der Sicherheitsanfälligkeit im Mai waren schwerwiegender. Sie wurde zuverlässig bei echten Angriffen eingesetzt und von Unternehmen verbreitet, die Exploits an spezielle Dienste verkauften. Sowohl die Sicherheitslücke im
Mai als auch die
neue wurden vom Schöpfer des konkurrierenden Telegrammboten Pavel Durov kommentiert. Sein Argument, kurz gesagt: In Telegram gab es keine derart großen Sicherheitslücken, in Whatsapp jedoch, deshalb ist es unsicher. Man kann Durov verstehen, aber nicht die Tatsache, dass es sich lohnt, weitreichende Schlussfolgerungen über die Sicherheit des Codes für
geschlossene Schwachstellen zu ziehen. Sie können Rückschlüsse auf echte Angriffe ziehen, aber hier hängt vieles von der Beliebtheit der Software oder des Dienstes ab.
Was ist noch passiert?
Experten von Kaspersky Lab geben
Prognosen für die Entwicklung komplexer Cyber-Angriffe für 2020 bekannt. Zunehmend werden Cyber-Operationen in großem Maßstab unter der „falschen Flagge“ durchgeführt: Dem Code und der Serverseite werden „Beweise“ hinzugefügt, die zu einer falschen Zuordnung der Kampagne führen. Angriffe mit Hilfe von Ransomware-Trojanern werden gezielt und die Zahl der "Teppichbomben" nimmt ab. Sie identifizieren Opfer, die genau zahlen können, und zielen gezielt darauf ab. Das Anwachsen von Angriffen mit IoT-Geräten wird vorhergesagt - sowohl durch das Hacken installierter Geräte als auch durch das Einführen von trojanischen IoT-Pferden in das Netzwerk des Opfers.
Google
erhöht die Belohnung für die Erkennung von Sicherheitslücken im Sicherheitschip Titan M auf eineinhalb Millionen Dollar. Titan M wird in den neuesten Pixel-Smartphones (beginnend mit Pixel 3) verwendet und bietet sicheren Zugriff auf die wertvollsten Daten, beispielsweise beim Bezahlen. Die maximale Auszahlung erfolgt für das Auffinden einer Sicherheitsanfälligkeit, mit der Sie Sicherheitssysteme aus der Ferne umgehen können.
Das obige Video ist ein merkwürdiges
Beispiel für die Eskalation von Berechtigungen durch einen Fehler in der Benutzerkontensteuerung. Laden Sie die von Microsoft signierte Binärdatei herunter, versuchen Sie, mit Administratorrechten zu beginnen, rufen Sie das Kennworteingabefenster auf, klicken Sie auf den Link in den Zertifikateigenschaften, und öffnen Sie den Browser mit Systemberechtigungen. Sicherheitslücke in Windows 7, 8 und 10 ist
am 12. November geschlossen.
Check Point
untersuchte Schwachstellen in der weit verbreiteten Open-Source-Software, die in beliebte Android-Anwendungen eingebettet ist. Wir haben nicht gepatchte Bibliotheken als Teil der Facebook-, WeChat- und AliExpress-App gefunden. Facebook bemerkte, dass das Vorhandensein einer Sicherheitslücke im Code dessen Funktion nicht garantiert: Der Problemcode sei möglicherweise einfach nicht beteiligt.
Die Kryptowährungs-Site von Monero wurde
gehackt und am 18. November mittags modifizierte Distributionen mit der Funktion ausgegeben, Geld aus den Brieftaschen der Benutzer zu stehlen.