Security Summary – Februar 2019

Der kurze Monatsrückblick fasst wichtige News und Blogposts zu den Themen IT-Security, Cloud-Computing und Privatsphärenschutz zusammen.

1. Kryptobörse kann Kunden 190 Mio. US-Dollar nicht zurückzahlen

Nach dem Tod des Gründers der kanadischen Kryptobörse QuadrigaCX, Gerald Cotton, der im Alter von nur 30 Jahren unerwartet verstorben ist, kann die Börse einen Grossteil der 190 Mio. US-Dollar, die sie ihren Kunden schuldet, nicht zurückzahlen. Die QuadrigaCX hat Gläubigerschutz beantragt, da sie keinen Zugriff auf die Mehrzahl der Mittel hat. Grund dafür ist, dass der Verstorbene als Einziger für das Management der Mittel und Coins verantwortlich war. Obgleich seine Witwe, Jennifer Robertson, im Besitz des Laptops ihres verstorbenen Mannes ist, haben weder sie, noch ein von der Gesellschaft beauftragter technischer Fachmann Zugriff auf die passwortgeschützten Mittel.

Quelle: gizmodo.com

2. Schiffe auf See nach Angaben von Penetrationstestern leichte Hackerbeute

Eine Analyse des Sicherheitsdienstleisters „Pen Test Partners” zeigt, dass sich Schiffe auf hoher See leicht einnehmen lassen. Nach Einschätzungen des Forschers Ken Munro von Pen Test Partners hätten Cyberkriminelle mit böswilligen Absichten leichtes Spiel bei solchen Schiffen. Eine der grössten Bedrohungen auf hoher See bestünde darin, dass entscheidende Kontrollsysteme von Schiffen nicht hinreichend geschützt seien.

Quelle: threatpost.com

3. Darknet: über 250 Accounts zum Verkauf angeboten

Der Preis für hunderte Millionen E-Mails und Passwörter von Benutzern liegt bei 20.000 USD in Bitcoins. Diese riesige Sammlung gestohlener Daten wird derzeit auf dem Schwarzmarkt des Internets über eine Website namens Dream Market verkauft. Wie die Online-Tech-Publikation „The Register” berichtet, zeigten Stichproben, dass die Daten echt sind.

Quelle: heise.de

4. In China bleiben Überwachungsdaten völlig ungeschützt

In der Region Xinjiang erfassen spezielle Überwachungskameras den Standort von 2,5 Mio. Chinesen mit Hilfe von Gesichtserkennungstechnologie. Erst kürzlich hatte ein niederländischer Sicherheitsexperte herausgefunden, dass seine personenbezogenen Daten auf einem ungeschützten Server gespeichert wurden. Damit waren die Daten (einschliesslich Name, Geburtsdatum und Ausweis) über Monate für jedermann zugänglich.

Quelle: inside-it.ch

5. Hunderte Unternehmen von Phishing-Attacken mit PDFs betroffen

Nach Angaben von Forschern der Firma Deep Instinct wurden seit Beginn der Attacke im Januar dieses Jahres weltweit bereits Anmeldedaten von weit über 200 Unternehmen erfolgreich gestohlen. Die Angreifer nutzten danach PDF, die sie per E-Mail versenden, um die Computer ihrer Opfer zunächst zu infiltrieren. Dann werden selbst neue Daten durch Heraufladen weiter gestohlen, was die Wirksamkeit ihres Vorgehens untermauert.

Quelle: threatpost.com

6. Neu entwickelte App in Googles Play Store sollte Kryptowährung stehlen

Diese Schadsoftware tarnte sich als Version des Browser-Addons „Metamask”, das eigentlich die Nutzung von Webdiensten mit Blockchain ermöglicht. Allerdings entdeckten Sicherheitsforscher von Eset, dass diese Fake-App entwickelt wurde, um von unbekannten Opfern Kryptogeld zu stehlen. Durch die App haben die Benutzer ihr Kryptogeld nicht auf ihren eigenen Account übertragen, sondern auf einen Account des Angreifers.

Quelle: heise.de

7. Datenschutzverletzungen auf Instagram, OKCupid und Mumsnet

Drei grosse Websites haben wegen schwerwiegender Datenschutzprobleme Schlagzeilen gemacht. Die Angreifer von Instagram schufen eine Schattendatenbank, in der sie Millionen personenbezogene Datensätze gesammelt und Hackern zugänglich gemacht haben. Zahlreiche Benutzer von OKCupic meldeten, dass ihre Accounts durch zurückgesetzte Passwörter übernommen wurden. Bei „Mumsnet“ hingegen wurde die Anmeldung auf dem Elternforum umgeschaltet, so dass Benutzer Zugang zu einem falschen Account hatten und ihre persönlichen Daten ungeschützt waren.

Quelle: threatpost.com

8. Kinder-Smartwatch ermöglicht Fremden die Verfolgung des Trägers

Die Europäische Kommission hat über eine RAPEX-Kundenwarnung die Smartwatch Safe-KID-One zurückgerufen. Grund waren schwerwiegende Sicherheitsmängel. Durch Sicherheitslücken beim Server-Backend und der dazugehörigen App ist es Hackern möglich, die Träger auf 500 Meter genau zu verfolgen.

Quelle: heise.de

9. Japans Regierung hackt eigene Bürger

Die japanische Regierung hackt sich in Geräte ihrer eigenen Bürger ein, die Teil des Internet of Things (IoT) sind. Ziel ist es, im Vorfeld der Olympischen Spiele 2020 die Risiken externer Cyberattacken zu bewerten. Nach Angaben des Nationalen Instituts für Informations- und Kommunikationstechnologie (NICT) sollen vor allem Geräte gehackt werden, die Standardpasswörter wie „123456" nutzen.

Quelle: heise.de