Security Summary – Januar 2019

Der kurze Monatsrückblick fasst wichtige News und Blogposts zu den Themen IT-Security, Cloud-Computing und Privatsphärenschutz zusammen.

1. Sammlung mit 773 Millionen Passwörtern zirkuliert in Untergrund-Foren

Der Betreiber der Website „Have I Been Pwned”, Troy Hunt, hat eine riesige Sammlung mit Passwörtern und E-Mail-Adressen im Netz gefunden. Die Datensammlung läuft unter dem Namen „Collection#1” und kann von allen Interessenten erworben werden.

Quelle: heise.de

2. Ransomware-Gruppe gibt an, „Gelder für Kinder zu sammeln”

Eine neue Ransomware-Gruppe greift Unternehmen an, verschlüsselt deren Dateien und verlangt Lösegeld in Form von Bitcoins, bevor die Dateien wieder entschlüsselt werden. Neu hierbei ist die Behauptung, dass das Lösegeld an die „International Children Charity Organisation” gespendet wird. Ausserdem sollen ihre Opfer auf einer Liste offizieller Spender aufgeführt werden.

Quelle: inside-it.ch

3. Allianz-Studie: Cyberattacken gehörten zu den grössten Unternehmensrisiken

Laut einer von der Versicherungsgesellschaft Allianz durchgeführten Studie gehören Cyberattacken zu den grössten Bedrohungen für Unternehmen weltweit. Die mit solchen Angriffen verbundenen Kosten belaufen sich auf 500 Milliarden Euro und werden allein für Deutschland pro Fall auf zwei Millionen Euro geschätzt.

Quelle: Heise.de

4. Anfälliger Regierungsserver ermöglicht Zugang zu FBI-Untersuchungen

Am 7. Dezember entdeckte der Forscher Greg Pollock des IT-Sicherheitsunternehmens UpGuard, dass das Oklahoma Department of Securities (ODS) für mehrere Tage Regierungsdaten auf einem ungesicherten Server gespeichert hatte. Der besagte Speicher enthielt 3 Terabytes mit sensiblen Daten, einschliesslich vertraulicher Akten der Oklahoma Securities Commission (Wertpapierkommission) und über FBI-Ermittlungen.

Quelle: thehackernews.com

5. Datenleck auf VOIPO-Datenbank mit Millionen von SMS-Nachrichten und Gesprächsprotokollen

Aufgrund einer Datenpanne eines VoIP-Anbieters mit Sitz in Kalifornien waren Millionen von Gesprächsprotokollen, SMS-Mitteilungsprotokollen und Anmeldeinformationen als Klartext ungeschützt verfügbar. Das Unternehmen bestätigt, dass versehentlich ein öffentlicher Zugang zu einem Entwicklungsserver möglich war. Als Folge davon waren bis zu 6,7 Millionen Gesprächsprotokolle verwundbar.

Quelle: threatpost.com

6. Triviale Webhoster-Sicherheitslücken gefährden 7 Millionen Domains

Fünf der weltgrössten Webhoster hatten nachweislich Schwachstellen in ihren Websites, die es Angreifern erlaubten, Nutzerkonten mit geringem Aufwand zu übernehmen. Bei den betroffenen Anbietern sind mehr als sieben Millionen Domains registriert.

Quelle: heise.de

7. Verwundbarkeit von Flugbuchungssystemen betrifft über 100 Fluggesellschaften

Der israelische Experte für Netzsicherheit, Noam Rotem, entdeckte eine schwerwiegende Schwachstelle im Online-Flugbuchungssystem Amadeus, die es Cyberkriminellen erlaubte, Zugang zu den Reisedaten fast der Hälfte der Flugreisenden weltweit zu erlangen und diese zu verändern. Das System wird derzeit von 141 Fluggesellschaften, einschliesslich Lufthansa, United Airlines und Air Canada, genutzt.

Quelle: thehackernews.com

8. Hacker muss 10-jährige Haftstrafe für DDoS-Angriffe verbüssen

Gegen einen US-Bürger wurde eine Freiheitsstrafe von 10 Jahren verhängt, nachdem er 2014 eine Reihe von DDoS-Angriffen auf amerikanische Kinderkrankenhäuser durchgeführt hatte. Ausserdem wurde er zur Zahlung von Schadensersatz in Höhe von 443.000 US-Dollar verurteilt.

Quelle: zdnet.com