Marriott International erleidet 500 m Datenverletzung

• Sicherheit

Werbung

In der Welt der Cybersicherheit, des Online-Datenschutzes und des Datenschutzes ist jeden Monat so viel los. Es ist schwer mitzuhalten!

Unsere monatliche Sicherheitsübersicht hilft Ihnen dabei, jeden Monat die wichtigsten Sicherheits- und Datenschutznachrichten im Auge zu behalten. Folgendes ist im November passiert.

1. Marriott International erleidet 500 m Datenverletzung

Wie immer ist eine der größten Sicherheitsnachrichten am Monatsende zu verzeichnen.

Der November endete damit, dass die Marriott International Hotelgruppe eine enorme Datenverletzung aufwies. Es wird angenommen, dass bis zu 500 Millionen Kundendatensätze betroffen sind, da der Angreifer seit 2014 Zugriff auf das Netzwerk der Marriott International Starwood Division hatte.

Marriott International übernahm Starwood im Jahr 2016, um mit über 5.800 Hotels die größte Hotelkette der Welt zu schaffen.

Das Leck bedeutet verschiedene Dinge für verschiedene Benutzer. Die Informationen für jeden Benutzer enthalten jedoch eine Kombination aus:

• Name
• Adresse
• Telefonnummer
• E-Mail-Addresse
• Ausweisnummer
• Kontoinformationen
• Geburtsdatum
• Geschlecht
• Informationen zu An- und Abreise

Am wichtigsten ist vielleicht die Enthüllung von Marriott, dass einige Aufzeichnungen verschlüsselte Karteninformationen enthielten - sie konnten jedoch auch nicht ausschließen, dass die privaten Schlüssel ebenfalls gestohlen wurden.

Das Wichtigste und Wichtigste ist: Wenn Sie vor dem 10. September 2018 in einem Marriott Starwood Hotel übernachtet haben, einschließlich Timesharing-Hotels, sind Ihre Informationen möglicherweise manipuliert worden.

Marriott ergreift Maßnahmen zum Schutz potenziell betroffener Benutzer, indem es WebWatcher ein Jahr lang kostenlos abonniert. US-Bürger erhalten außerdem eine kostenlose Betrugsberatung und eine kostenlose Erstattungsversicherung. Gegenwärtig gibt es drei Registrierungsstellen:

• Vereinigte Staaten
• Kanada
• Großbritannien

Ansonsten sehen Sie sich diese drei einfachen Möglichkeiten zum Schutz Ihrer Daten an. So begegnen Sie Datenbrüchen: 3 einfache Möglichkeiten zum Schutz Ihrer Daten So begegnen Sie Datenbrüchen: 3 einfache Möglichkeiten zum Schutz Ihrer Daten Datenbrüche wirken sich nicht nur auf Aktienkurse und Regierungsbehörden aus Budgets. Was ist zu tun, wenn eine Sicherheitsverletzung gemeldet wird? Lesen Sie mehr nach einem schwerwiegenden Verstoß.

2. Event-Stream-JavaScript-Bibliothek mit Crypto-Stealing-Malware

In eine JavaScript-Bibliothek, die über 2 Millionen Downloads pro Woche erhält, wurde schädlicher Code zum Stehlen von Kryptowährungen eingefügt.

Es wurde festgestellt, dass das Event-Stream-Repository, ein JavaScript-Paket, das die Arbeit mit den Streaming-Modulen von Node.j vereinfacht, verschleierten Code enthält. Als die Forscher den Code desobuzierten, wurde klar, dass sein Ziel der Diebstahl von Bitcoin war.

Die Analyse schlägt vor, dass der Code auf Bibliotheken abzielt, die der Copay-Bitcoin-Brieftasche für Mobilgeräte und Desktops zugeordnet sind. Wenn die Copay-Brieftasche auf einem System vorhanden ist, versucht der böswillige Code, den Brieftascheninhalt zu stehlen. Anschließend wird versucht, eine Verbindung zu einer malaysischen IP-Adresse herzustellen.

Der Schadcode wurde in das Event-Stream-Repository hochgeladen, nachdem der ursprüngliche Entwickler Dominic Tarr die Kontrolle über die Bibliothek an einen anderen Entwickler, right9ctrl, übergeben hatte.

Right9ctrl hat eine neue Version der Bibliothek hochgeladen, fast sobald die Kontrolle übergeben wurde. Die neue Version enthält den Schadcode für Copay-Wallets.

Seitdem hat right9ctrl jedoch eine weitere neue Version der Bibliothek hochgeladen - ohne schädlichen Code. Der neue Upload fällt auch mit der Aktualisierung der Mobile- und Desktop-Wallet-Pakete durch Copay zusammen, um die Verwendung der vom Schadcode betroffenen JavaScript-Bibliotheken zu verhindern.

3. Amazon erleidet Data Breach-Tage vor dem Black Friday

Nur wenige Tage vor dem größten Einkaufstag des Jahres (abgesehen von Chinas Single's Day natürlich) erlitt Amazon einen Datenverstoß.

„Wir setzen uns mit Ihnen in Verbindung, um Sie darüber zu informieren, dass auf unserer Website aufgrund eines technischen Fehlers versehentlich Ihr Name und Ihre E-Mail-Adresse veröffentlicht wurden. Das Problem wurde behoben. Dies ist nicht das Ergebnis von Maßnahmen, die Sie ergriffen haben, und Sie müssen weder Ihr Kennwort ändern noch andere Maßnahmen ergreifen. “

Es ist schwierig, die genauen Details der Sicherheitsverletzung zu bestimmen, da Amazon dies nicht sagt. Allerdings gaben Amazon-Nutzer in Großbritannien, den USA, Südkorea und den Niederlanden an, eine Amazon-E-Mail bezüglich des Verstoßes erhalten zu haben, sodass es sich um ein relativ globales Problem handelte.

Benutzer können sich darüber trösten, dass es sich um ein technisches Problem von Amazon handelte, das zur Verletzung der Datenschutzbestimmungen führte, und nicht um einen Angriff auf Amazon. Die Freigabe von Informationen enthält auch keine Bankdaten.

Die Meldung von Amazon, dass die betroffenen Benutzer ihr Kennwort nicht ändern müssen, ist jedoch eindeutig falsch. Wenn Sie von der Amazon-Datenschutzverletzung betroffen sind, ändern Sie Ihr Kontokennwort.

4. Selbstverschlüsselnde Sicherheitslücken bei Samsung und Crucial SSD

Sicherheitsforscher entdeckten mehrere kritische Sicherheitslücken in selbstverschlüsselnden SSDs von Samsung und Crucial. Das Forschungsteam testete drei Crucial-SSDs und vier Samsung-SSDs und stellte bei jedem getesteten Modell kritische Probleme fest.

Carlo Meijer und Bernard van Gastel, Sicherheitsforscher an der Universität Radboud in den Niederlanden, identifizierten Schwachstellen [PDF] in der Implementierung von ATA-Sicherheit und TCG-Opal, zwei Spezifikationen für die Implementierung von Verschlüsselung auf SSDs, die hardwarebasierte Verschlüsselung verwenden.

Es gibt verschiedene Probleme:

• Mangelnde kryptografische Bindung zwischen Kennwort und Datenverschlüsselungsschlüssel bedeutet, dass ein Angreifer Laufwerke entsperren kann, indem er den Kennwortüberprüfungsprozess ändert.
• Für den Crucial MX300 wurde vom Hersteller ein Master-Passwort festgelegt. Dieses Passwort ist eine leere Zeichenfolge, z. B. gibt es keine.
• Wiederherstellung von Samsung-Datenverschlüsselungsschlüsseln durch Ausnutzung des SSD-Wear-Levels.

Die Forscher stellten beunruhigend fest, dass diese Sicherheitslücken möglicherweise auch für andere Modelle sowie für andere SSD-Hersteller gelten.

Sie fragen sich, wie Sie Ihre Laufwerke schützen können? So schützen Sie Ihre Daten mit dem Open-Source-Verschlüsselungstool VeraCrypt So verschlüsseln und schützen Sie Ihre Daten und Dateien mit VeraCrypt So verschlüsseln und schützen Sie Ihre Daten und Dateien mit VeraCrypt VeraCrypt ist ein kostenloses Open-Source-Verschlüsselungstool, das Sie verwenden können um Ihre wertvollen persönlichen Daten in Windows zu verschlüsseln und zu schützen. Weiterlesen .

5. Die Apple Pay Malvertising-Kampagne zielt auf iPhone-Nutzer ab

iPhone-Nutzer sind das Ziel einer laufenden Malvertising-Kampagne, an der Apple Pay beteiligt ist.

Die Kampagne versucht, Benutzer ihrer Apple Pay-Anmeldeinformationen mithilfe von zwei Phishing-Popups umzuleiten und zu betrügen. Der Angriff erfolgt über eine Reihe von Premium-Zeitungen und -Magazinen, wenn auf diese über iOS zugegriffen wird.

Die als PayLeak bekannte Malware liefert ahnungslose iPhone-Nutzer, die auf die schädliche Anzeige klicken, an eine in China registrierte Domain.

Wenn der Benutzer die Domäne erreicht, überprüft die Malware eine Reihe von Anmeldeinformationen, einschließlich der Gerätebewegung, des Gerätetyps (Android oder iPhone) und ob der Gerätebrowser Linux x86_64, Win32 oder MacIntel ist.

Darüber hinaus überprüft die Malware das Gerät auf Virenschutz- oder Malware-Apps.

Wenn die richtigen Bedingungen erfüllt sind, werden Android-Benutzer zu einer Phishing-Website weitergeleitet, die angibt, dass der Benutzer eine Amazon-Geschenkkarte gewonnen hat.

IPhone-Benutzer erhalten jedoch zwei Popups. Die erste Meldung weist darauf hin, dass das iPhone aktualisiert werden muss, während die zweite Meldung den Benutzer darüber informiert, dass auch die Apple Pay App aktualisiert werden muss. Die zweite Warnung teilt die Apple Pay-Kreditkarteninformationen mit einem Remote-Befehls- und Steuerungsserver.

6. Eine Million Tracker-Uhren für Kinder sind anfällig

Mindestens eine Million GPS-fähige Kinderuhren werden an Eltern verkauft, die von Sicherheitslücken geplagt sind.

Die Studie von Pen Test Partners enthielt eine Reihe von Sicherheitsaspekten für die äußerst beliebte MiSafe-Kindersicherheitsuhr. Mit den GPS-fähigen Uhren kann ein Elternteil jederzeit den Standort seines Kindes verfolgen.

Die Sicherheitsforscher stellten jedoch fest, dass auf Geräte-IDs und damit auf das Benutzerkonto zugegriffen werden konnte.

Durch den Zugriff auf das Konto konnte das Sicherheitsteam das Kind lokalisieren, ein Foto des Kindes anzeigen, Konversationen zwischen dem Kind und seinem Elternteil abhören oder das Kind anrufen oder selbst eine Nachricht senden.

„Unsere Forschung wurde an Uhren mit der Marke 'Misafes kids watcher' durchgeführt und scheint bis zu 30.000 Uhren zu betreffen. Wir haben jedoch mindestens 53 andere Marken von Kinder-Tracker-Uhren entdeckt, die von identischen oder nahezu identischen Sicherheitsproblemen betroffen sind. “

Sicherheitslücken in intelligenten Geräten für Kinder sind kein neues Problem Neue Fälle von Hackern, die auf vernetztes Spielzeug abzielen, beweisen, dass sie unsicher sind Neue Fälle von Hackern, die auf vernetztes Spielzeug abzielen, beweisen, dass sie unsicher sind Weitere Informationen Es bleibt jedoch besorgniserregend.

„Wie kaufst du sichere intelligente Spielzeuge für deine Kinder? Sie nicht “, sagt Aaron Zander, IT-Ingenieur bei Hacker One. „Aber wenn Sie müssen, entscheiden Sie sich nicht für die billigsten Optionen und versuchen Sie, Funktionen wie Video, Wi-Fi und Bluetooth zu minimieren. Wenn Sie ein Gerät haben und es eine Sicherheitslücke aufweist, wenden Sie sich an Ihre Regierungsvertreter, schreiben Sie Ihre Aufsichtsbehörden, stinken Sie darüber. Nur so wird es besser. “

Zusammenfassung der Sicherheitsnachrichten im November

Dies sind sechs der wichtigsten Sicherheitsgeschichten ab November 2018. Es ist jedoch noch viel mehr passiert. Wir haben einfach keinen Platz, um alles im Detail aufzulisten. Hier sind fünf weitere interessante Sicherheitsgeschichten, die letzten Monat aufgetaucht sind:

• Der japanische stellvertretende Chef der Cybersicherheitsstrategie gab bekannt, dass er noch nie einen Computer benutzt hat.
• Nationalstaatliche Malware Stuxnet attackiert (erneut) Einrichtungen und Organisationen im Iran.
• Hacker finden Zero-Day-Exploits auf iPhone X-, Samsung Galaxy S9- und Xiaomi Mi6-Geräten.
• Microsoft korrigiert einen Windows-Zero-Day-Exploit, der bei mehreren Angriffen von verschiedenen Hacking-Gruppen verwendet wurde.
• Die fortschrittliche Spyware Pegasus wird verwendet, um investigative Journalisten in Mexiko anzusprechen.

Ein weiterer Wirbelwind von Cybersicherheitsnachrichten. Die Welt der Cybersicherheit ändert sich ständig, und es ist schwierig, sich über die neuesten Sicherheitsverletzungen, Malware- und Datenschutzprobleme zu informieren.

Deshalb fassen wir jeden Monat die wichtigsten und interessantesten Neuigkeiten für Sie zusammen.

Schauen Sie zu Beginn des nächsten Monats, also zu Beginn eines neuen Jahres, noch einmal nach, um Ihre Sicherheitsübersicht für Dezember 2018 zu lesen. Im nächsten Monat wird auch das MakeUseOf-Jahr 2018 in der Sicherheitszusammenfassung stehen. In der Zwischenzeit lesen Sie diese fünf Tipps und Tricks zum Sichern Ihrer Smart Devices 5 Tipps zum Sichern Ihrer Smart Devices und IoT-Geräte 5 Tipps zum Sichern Ihrer Smart Devices und IoT-Geräte Smart Home-Hardware ist Teil des Internets der Dinge, aber wie sicher Ist Ihr Netzwerk mit diesen Geräten verbunden? Weiterlesen .

Bildnachweis: Karlis Dambrans / Flickr

Erfahren Sie mehr über: Amazon, Apple Pay, Black Friday, Computersicherheit, Kryptowährung, Malvertising, Sicherheitsverletzung, Solid State Drive, Spielzeug.