Business Security, Sicher & Anonym, Verschlüsselung & Datensicherheit

Statement zum Datenleak bei Buchbinder

Experten von YesWeHack kommentieren die Sicherheitslücke

Die Autovermietung Buchbinder hat wochenlang 3 Millionen Kundendaten frei zugänglich im Netz stehen lassen. Edgar Boda-Majer kommentiert aus technischer Perspektive. Er ist Hunter für YesWeHack und Sicherheitsingenieur bei Bugscale. Rayna Stamboliyska ordnet die Sicherheitslücke aus unternehmerischer Sicht ein. Sie ist Security-Expertin und Vice President Governance & Public Affairs bei YesWeHack.

„Der Datenleak bei Buchbinder ist keine Seltenheit: Datenleaks passieren heutzutage fast schon routinemäßig alle paar Wochen. Erst diese Woche hat Microsoft selbst Daten von 250 Millionen Kunden in ähnlicher Weise wie Buchbinder verloren. Die Besonderheit im Falle Buchbinder ist die Trivialität des Angriffes und die enormen Datenmengen, die für jeden frei zugänglich im Internet zur Verfügung standen. Für den Angriff genügte es, sich per SMB-Protokoll mit dem exponierten SMB-Port des Servers zu verbinden. Dies deutet auf einen gravierenden Konfigurationsfehler seitens der Netzwerk-Administration hin. Schließlich sollte der SMB-Port niemals über das Internet erreichbar sein, erst recht nicht ohne Authentifikation. Erschwerend kommt hinzu, dass die Backups unverschlüsselt abgelegt worden sind.

Eine solche Lücke wäre ganz klar entweder bei einem klassischen Sicherheitsaudit oder mit einem Bug-Bounty-Programm gefunden worden. Auf Bug-Bounty-Plattformen wie YesWeHack gibt es Hunderte Teilnehmer, sogenannte Hunter. Die Wahrscheinlichkeit, dass solch ein ungeschützter Server gefunden wird, ist damit hoch. Oft ist auch das Problem, dass kein Prozess für einen solchen Fall definiert ist: Findet jemand zufällig solch eine Lücke, hat er meist keinen direkten Kontakt zu den Sicherheitsleuten im Unternehmen. So war es auch in diesem Fall – der Entdecker wandte sich zwei Mal an das Unternehmen, erhielt jedoch keine Antwort. Bei einem Bug-Bounty-Programm gibt es eine zentrale Anlaufstelle im Unternehmen, bei der Sicherheitslücken einfach gemeldet werden können, um sie schnellstmöglich zu schließen.“

Statement von Rayna Stamboliyska

„Die persönlichen Daten von Nutzern und Kunden sind ein strategischer Wert für jede Organisation. Beim Ausfüllen eines Formulars vertrauen wir einem Unternehmen persönliche Informationen über uns an, um eine Geschäftsbeziehung zu ermöglichen. Dass für die Sicherheit unserer Daten gesorgt wird, ist kein Wunsch, sondern sowohl für das Unternehmen als auch für den Kunden entscheidend. Und letztlich ist es auch eine rechtliche Verpflichtung. Gleichzeitig macht dieser Vorfall deutlich, wie relevant der Umgang von Unternehmen mit externen Sicherheitsforschern oder ethischen Hackern ist. Buchbinder sei wohl zwei Mal auf die Schwachstelle hingewiesen worden, habe aber nicht reagiert. Unternehmen müssen im Sinne einer Vulnerability Disclore Policy entsprechende Prozesse für die Offenlegung von Schwachstellen etablieren: Wenn jemand eine Schwachstelle findet, muss die Person auf der eigenen Website des Unternehmens nachvollziehen können, wie diese an einer bestimmten Stelle in der Organisation gemeldet werden kann. Gleichzeitig müssen interne Prozesse etabliert sein, die einen klaren und fruchtbaren Austausch mit Sicherheitsforschern und ethischen Hackern ermöglichen, um auf deren Entdeckungen schnell reagieren zu können.“

 

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben