Marriott International erleidet einen Datenverlust von 500 m
In der Welt der Cyber-Sicherheit, des Online-Datenschutzes und des Datenschutzes ist jeden Monat so viel los. Es ist schwer mitzuhalten!
Unsere monatliche Sicherheitsübersicht hilft Ihnen, die wichtigsten Sicherheits- und Datenschutznachrichten jeden Monat im Auge zu behalten. Folgendes ist im November passiert.
1. Marriott International erleidet einen Datenverlust von 500 m
Am Ende des Monats wird nach wie vor eine der größten Sicherheitsnachrichten gehandelt.
Der November endete, als die Marriott International Hotelgruppe einen enormen Datenschutzverstoß offenbarte. Es wird angenommen, dass bis zu 500 Millionen Kundendatensätze betroffen sind, da der Angreifer seit 2014 Zugriff auf das Netzwerk des Marriott International Starwood-Geschäftsbereichs hat.
Marriott International hat Starwood im Jahr 2016 erworben, um die größte Hotelkette der Welt mit über 5.800 Objekten zu schaffen.
Das Leck bedeutet für verschiedene Benutzer unterschiedliche Dinge. Die Informationen für jeden Benutzer enthalten jedoch eine Kombination aus:
- Name
- Adresse
- Telefonnummer
- E-Mail-Addresse
- Ausweisnummer
- Kontoinformationen
- Geburtsdatum
- Geschlecht
- An- und Abreiseinformationen
Vielleicht von größter Bedeutung ist die Offenbarung von Marriott etwas Aufzeichnungen enthielten verschlüsselte Karteninformationen - es konnte jedoch auch nicht ausgeschlossen werden, dass auch die privaten Schlüssel gestohlen wurden.
Kurz und bündig ist Folgendes: Wenn Sie vor dem 10. September 2018 in einem Marriott Starwood-Hotel einschließlich Timesharing-Hotels übernachtet haben, sind Ihre Informationen möglicherweise gefährdet.
Marriott ergreift Maßnahmen, um potenziell betroffene Benutzer zu schützen, indem WebWatcher ein Jahr lang kostenlos abonniert wird. US-Bürger erhalten außerdem eine kostenlose Betrugskonsultation und Erstattungsdeckung kostenlos. Derzeit gibt es drei Registrierungsorte:
- Vereinigte Staaten
- Kanada
- Großbritannien
Ansonsten sollten Sie diese drei einfachen Möglichkeiten zum Schutz Ihrer Daten in Erfahrung bringen. So begegnen Sie Datenverletzungen: 3 einfache Möglichkeiten zum Schutz Ihrer Daten So bekämpfen Sie Datenverletzungen: 3 einfache Möglichkeiten, Ihre Daten zu schützen Datenverletzungen treffen nicht nur die Aktienkurse und die Regierungsabteilung Budgets Was sollten Sie tun, wenn eine Nachricht von einem Verstoß gemeldet wird? Lesen Sie mehr nach einem schwerwiegenden Verstoß.
2. Event-Stream-JavaScript-Bibliothek mit Crypto-Diebstahl-Malware injiziert
In eine JavaScript-Bibliothek, die pro Woche mehr als 2 Millionen Downloads erhält, wurde bösartiger Code zum Stehlen von Kryptowährungen hinzugefügt.
Das Event-Stream-Repository, ein JavaScript-Paket, das die Arbeit mit Node.js-Streaming-Modulen vereinfacht, enthielt verschleierten Code. Als die Forscher den Code deobfuszierten, wurde klar, dass das Ziel Bitcoin-Diebstahl war.
Die Analyse schlägt vor, dass der Code auf Bibliotheken ausgerichtet ist, die mit der Copay-Bitcoin-Wallet für Mobil- und Desktop-Computer verbunden sind. Wenn die Copay-Brieftasche auf einem System vorhanden ist, versucht der schädliche Code, den Brieftascheninhalt zu stehlen. Es versucht dann, eine Verbindung zu einer malaysischen IP-Adresse herzustellen.
Der Schadcode wurde in das Event-Stream-Repository hochgeladen, nachdem der ursprüngliche Entwickler Dominic Tarr die Kontrolle über die Bibliothek an einen anderen Entwickler, right9ctrl, übergeben hatte.
Right9ctrl hat fast unmittelbar nach der Übergabe der Kontrolle eine neue Version der Bibliothek hochgeladen. Die neue Version enthält den schädlichen Code, der auf Copay-Wallets abzielt.
Seitdem hat right9ctrl eine weitere neue Version der Bibliothek hochgeladen - ohne schädlichen Code. Der neue Upload entspricht auch der Aktualisierung von Mobile und Desktop-Wallet-Paketen durch Copay, um die Verwendung von JavaScript-Bibliotheken zu entfernen, auf die der schädliche Code abzielt.
3. Amazon leidet Datenverletzungstage vor dem Black Friday
Nur wenige Tage vor dem größten Einkaufstag des Jahres (natürlich mit Ausnahme von Chinas Single's Day) erlitt Amazon einen Datenbruch.
“Wir setzen uns mit Ihnen in Verbindung, um Sie darüber zu informieren, dass unsere Website aufgrund eines technischen Fehlers versehentlich Ihren Namen und Ihre E-Mail-Adresse preisgegeben hat. Das Problem wurde behoben. Dies ist nicht das Ergebnis von etwas, das Sie getan haben, und Sie müssen Ihr Kennwort nicht ändern oder andere Maßnahmen ergreifen.”
Es ist schwierig, die genauen Einzelheiten des Verstoßes einzuschätzen, da Amazon nichts aussagt. Amazon-Benutzer in Großbritannien, den USA, Südkorea und den Niederlanden gaben jedoch alle an, eine Amazon-E-Mail bezüglich des Verstoßes erhalten zu haben. Dies war ein ziemlich globales Problem.
Die Benutzer können sich etwas beruhigen, da es sich bei Amazon um ein technisches Problem handelt, das zu einer Datenverletzung geführt hat, und nicht zu einem Angriff auf Amazon. Die Veröffentlichung von Informationen enthält auch keine Bankdaten.
Die Meldung von Amazon, dass betroffene Benutzer kein Passwort ändern müssen, ist jedoch eindeutig falsch. Wenn Sie von der Verletzung der Amazon-Daten betroffen sind, ändern Sie Ihr Kontokennwort.
4. Selbstverschlüsselnde Sicherheitslücken bei Samsung und Crucial SSD
Sicherheitsforscher entdeckten mehrere kritische Sicherheitslücken in selbstverschlüsselnden SSDs von Samsung und Crucial. Das Forschungsteam testete drei Crucial-SSDs und vier Samsung-SSDs und stellte bei jedem getesteten Modell kritische Probleme fest.
Carlo Meijer und Bernard van Gastel, Sicherheitsforscher an der Radboud-Universität in den Niederlanden, identifizierten Schwachstellen [PDF] bei der Implementierung von Laufwerken für ATA-Sicherheit und TCG Opal, zwei Spezifikationen für die Implementierung von Verschlüsselung auf SSDs, die hardwarebasierte Verschlüsselung verwenden.
Es gibt verschiedene Probleme:
- Das Fehlen einer kryptografischen Bindung zwischen Kennwort und Datenverschlüsselungsschlüssel bedeutet, dass ein Angreifer Laufwerke durch Ändern des Kennwortüberprüfungsvorgangs entsperren kann.
- Der Crucial MX300 hat ein vom Hersteller festgelegtes Hauptkennwort. Dieses Kennwort ist eine leere Zeichenfolge, z. B. keine.
- Wiederherstellung von Samsung-Datenverschlüsselungsschlüsseln durch Ausnutzung des SSD-Verschleißniveaus.
Die Wissenschaftler gaben an, dass diese Sicherheitsanfälligkeiten möglicherweise auch für andere Modelle sowie für verschiedene SSD-Hersteller gelten könnten.
Sie fragen sich, wie Sie Ihre Laufwerke schützen können? So schützen Sie Ihre Daten mit dem Open-Source-Verschlüsselungsprogramm VeraCrypt Verschlüsseln und Schützen Ihrer Daten und Dateien mit VeraCrypt Verschlüsseln und Schützen Ihrer Daten und Dateien mit VeraCrypt VeraCrypt ist ein kostenloses Open-Source-Verschlüsselungstool, das Sie verwenden können um Ihre wertvollen persönlichen Daten in Windows zu verschlüsseln und zu schützen. Weiterlesen .
5. Apple Pay Malvertising Campaign zielt auf iPhone-Nutzer
iPhone-Nutzer sind das Ziel einer laufenden Malvertising-Kampagne, an der Apple Pay beteiligt ist.
Die Kampagne versucht, Benutzer mit zwei Phishing-Pop-Ups an Apple Pay-Anmeldedaten weiterzuleiten und zu betrügen. Der Angriff erfolgt über eine Reihe von Premium-Zeitungen und -Magazinen, wenn über iOS darauf zugegriffen wird.
Die als PayLeak bekannte Malware liefert ahnungslose iPhone-Benutzer, die auf die schädliche Anzeige klicken, an eine in China registrierte Domäne.
Wenn der Benutzer bei der Domäne ankommt, prüft die Malware eine Reihe von Anmeldeinformationen, einschließlich Gerätebewegung, Gerätetyp (Android oder iPhone) und Angabe, ob der Gerätebrowser Linux x86_64, Win32 oder MacIntel ist.
Darüber hinaus überprüft die Malware das Gerät auf Antivirus- oder Antimalware-Apps.
Wenn die korrekten Bedingungen erfüllt sind, werden Android-Benutzer auf eine Phishing-Site umgeleitet, die angibt, dass der Benutzer eine Amazon-Geschenkkarte gewonnen hat.
IPhone-Benutzer erhalten jedoch zwei Pop-Ups. Die erste ist eine Warnung, dass das iPhone aktualisiert werden muss, während die zweite den Benutzer darüber informiert, dass auch die Apple Pay-App aktualisiert werden muss. Die zweite Warnmeldung teilt die Apple Pay-Kreditkarteninformationen mit einem Remote-Befehls- und Steuerungsserver.
6. Eine Million Kinder-Tracker-Uhren sind anfällig
Mindestens eine Million GPS-fähige Kinder-Tracker-Uhren werden an verwundete Eltern verkauft.
Die Untersuchung von Pen Test Partners führte eine Reihe von Sicherheitsfragen mit der äußerst beliebten MiSafe-Kindersicherheitsuhr auf. Die GPS-fähigen Uhren sind so konzipiert, dass ein Elternteil jederzeit den Standort des Kindes verfolgen kann.
Die Sicherheitsforscher stellten jedoch fest, dass auf die Geräte-ID-Nummern und damit auf das Benutzerkonto zugegriffen werden konnte.
Durch den Zugriff auf das Konto konnte das Sicherheitsteam das Kind suchen, ein Foto des Kindes anzeigen, Unterhaltungen zwischen dem Kind und seinem Elternteil abhören oder einen Fernanruf tätigen oder das Kind selbst benachrichtigen.
“Unsere Forschung wurde mit Uhren der Marke "Misafes kids watcher" durchgeführt und scheint bis zu 30.000 Uhren zu betreffen. Wir haben jedoch mindestens 53 andere Uhrenmarken für Kinder-Tracker-Uhren entdeckt, die von identischen oder nahezu identischen Sicherheitsproblemen betroffen sind.”
Sicherheitslücken in intelligenten Geräten, die sich an Kinder richten, sind kein neues Thema. Neue Fälle von Hackern, die auf vernetzte Spielzeuge abzielen, beweisen, dass sie unsicher bleiben. Neue Fälle von Hackern, die auf vernetzte Spielzeuge abzielen, beweisen, dass sie unsicher bleiben. Es bleibt jedoch besorgniserregend.
“Also, wie kaufst du sicheres Spielzeug für deine Kinder? Du nicht,” sagt Aaron Zander, IT-Ingenieur bei Hacker One. “Wenn Sie müssen, sollten Sie sich nicht für die billigsten Optionen entscheiden und versuchen, Funktionen wie Video, WLAN und Bluetooth zu minimieren. Wenn Sie über ein Gerät verfügen, das Sicherheitslücken aufweist, wenden Sie sich an Ihre Regierungsvertreter, schreiben Sie Ihre Regulierungsbehörden auf, machen Sie einen Gestank, es ist der einzige Weg, auf dem es besser wird.”
November Security News Zusammenfassung
Dies sind sechs der wichtigsten Sicherheitsgeschichten vom November 2018. Es ist jedoch noch viel mehr passiert. Wir haben einfach keinen Platz, um alles im Detail aufzulisten. Hier sind fünf weitere interessante Sicherheitsgeschichten, die letzten Monat aufgetaucht sind:
- Der japanische stellvertretende Chef der Cybersecurity-Strategie zeigte, dass er noch nie einen Computer benutzt hat.
- Nationalstaatlicher Malware-Stuxnet greift Einrichtungen und Organisationen im Iran an (wieder).
- Hacker finden Zero-Day-Exploits in Geräten des iPhone X, Samsung Galaxy S9 und Xiaomi Mi6.
- Microsoft behebt einen Zero-Day-Angriff von Windows, der bei mehreren Angriffen verschiedener Hacking-Gruppen zum Einsatz kommt.
- Die erweiterte Spyware von Pegasus wird für die Ermittlung von investigativen Journalisten in Mexiko eingesetzt.
Ein weiterer Wirbelsturm der Internetsicherheit. Die Welt der Cybersicherheit ändert sich ständig, und es ist schwierig, sich über die neuesten Verstöße, Malware und Datenschutzprobleme auf dem Laufenden zu halten.
Deshalb fangen wir jeden Monat die wichtigsten und interessantesten Neuigkeiten für Sie zusammen.
Schauen Sie sich zu Beginn des nächsten Monats, zu Beginn eines neuen Jahres, um Ihre Sicherheitskonfiguration vom Dezember 2018 an. Im nächsten Monat wird auch das MakeUseOf 2018-Jahr in Sicherheitsrunde gezeigt. Überprüfen Sie in der Zwischenzeit diese fünf Tipps und Tricks zum Sichern Ihrer intelligenten Geräte. 5 Tipps zum Sichern Ihrer intelligenten Geräte und IoT-Geräte. 5 Tipps zum Sichern Ihrer intelligenten Geräte und IoT-Geräte. Smart Home-Hardware gehört zum Internet der Dinge, ist aber sicher Ist Ihr Netzwerk mit diesen Geräten verbunden? Weiterlesen .
Bildnachweis: Karlis Dambrans / Flickr
Erfahren Sie mehr über: Amazon, Apple Pay, Black Friday, Computersicherheit, Kryptowährung, Malvertising, Sicherheitsverletzung, Solid State Drive, Spielzeug.