DVB-Cube <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 24 September, 2006, 12:55
-
Cracker haben eine dem Anschein nach bislang unbekannte Sicherheitslücke in der Hosting-Konfigurationssoftware cPanel ausgenutzt, um beim Webhoster HostGator gespeicherte Kundenseiten zu manipulieren. Nach Angaben des Dienstleisters und Internet-Statistikers Netcraft erhielten die Angreifer über die Lücke Root-Zugriff und bauten in zahlreiche Webseiten IFrames ein, die Besucher auf infizierte externe Webseiten umleiteten. Dort sollte Anwendern des Internet Explorer über die noch nicht gepatchte VML-Lücke Schadcode auf den PC geschoben werden. Allerdings bemerkte HostGator schnell die Manipulation und benachrichtigte am gestrigen Samstag seine Kunden über das Problem. Wie viele Besucher sich mit Schädlingen infiziert haben, ist unbekannt.
Der Hersteller der cPanel-Software hat unterdessen ein Perl-Skript bereit gestellt, das die Lücke schließen soll. Worauf das Problem beruht, ist unklar, einen offiziellen Fehlerbericht gibt es noch nicht. Im Forum des Herstellers tauschen sich Anwender aber bereits über Maßnahmen aus. Betroffen sollen alle aktuellen und älteren cPanel-Versionen Stable, Release, Current und Edge sein. Allerdings soll sich die Root-Lücke nur ausnutzen lassen, wenn der Angreifer über ein lokales cPanel-Konto eines Kunden verfügt. Andere Webhoster dürften ebenfalls bedroht sein.
Anwender des Internet Explorer können sich vor Angriffen auf die VML-Lücke schützen, indem sie die Bibliothek vgx.dll deaktivieren. Wie das geht, beschreibt Microsoft in einem eigenen Fehlerbericht. Unabhängige Sicherheitsspezialisten haben zudem einen temporären Patch für die VML-Lücke im Internet Explorer entwickelt und veröffentlicht. Allerdings rät Microsoft von der Installation inoffizieller Patches ab. Hier liegt es im Ermessen des Anwenders, ob er dem Dritthersteller und dessen Tests über die Funktionalität vertraut, um nicht bis zum nächsten Patchday verwundbar zu bleiben. Offiziell kündigen die Redmonder ein Update für den 10. Oktober an. Laut Microsoft ist ein früherer Termin aber möglich -- "depending on customer needs"; allerdings ohne zu Verraten, ab wann dieser Zustand erreicht ist.
Quelle : www.heise.de
-
Zahlreiche offizielle Webseiten von bei Sony BMG unter Vertrag stehenden Künstlern sind heute Nacht gehackt worden. So sind etwa auf den Seiten von Justin Timberlake (wo Sony BMG offensichtlich begonnen hat, das Defacement zu korrigieren), Christina Aguilera, Britney Spears, Alicia Keys, Aerosmith und vielen anderen statt der Biografie, Beschreibungen zum aktuellen Album und Tourneedaten nur ein "XTech Inc Owned the Music Industry... and the rest of it" zu finden. Es sind aber auch zahreiche Seiten von Künstlern dem Massen-Defacement zum Opfer gefallen, die nicht bei Sony BMG unter Vertrag stehen.
(http://www.heise.de/bilder/84400/0/0)
Sony BMG ist über den Vorfall informiert und versucht die Seiten wieder herzustellen. Wie die Startseiten genau manipuliert wurden, ist nicht bekannt. Man wisse auch noch nicht, ob eine Schwachstelle in der Software ausgenutzt wurde.
Schaut man auf Zone-H in das Defacement-Archiv, ist die Gruppe XTech Inc in den vergangenen zwei Tagen sehr aktiv beim Manipulieren von Webseiten gewesen. Das lässt auf ein automatisiertes Defacement schließen, bei der in der Regel eine weit verbreitete Webanwendung angegegriffen wird. Meist dringen die Täter beim Defacement aber nicht vollständig in den Server ein, um ihn unter ihre Kontrolle zu bringen, sondern tauschen nur die index.html gegen eine Seite mit eigenen Inhalten aus.
Quelle : www.heise.de
-
Der Sicherheitsdienstleister Websense hat nach eigenen Angaben Massenhacks von Webseiten beobachtet, bei denen Kriminelle eigene JavaScripte in die Seiten eingebettet haben. Besucher der Seiten werden laut Bericht auf eine Domain umgeleitet, die einen ähnlich klingenden Namen wie google-analytics.com hat. Dort versucht ein Server mit mehreren Exploits für den Internet Explorer, Firefox und QuickTime den PC des Besuchers zu infizieren. Der Server soll in der Ukraine beheimatet sein. Laut Websense ist die Erkennungsquote für den beobachteten Schädling noch relativ gering. Bislang sollen mehrere zehntausend legitime Webseiten manipuliert worden sein.
Wie es den Kriminellen gelang, ihren Code in die Seiten zu schleusen, ist noch nicht klar. Vermutlich nutzten sie SQL-Injection-Schwachstellen in Webanwendungen auf den Servern aus oder erspähten FTP-Zugangsdaten. Administratoren erkennen eine Infektion ihrer Webseite am stark "obfuszierten" JavaScript-Code. Einen Eindruck davon bekommt man im Original-Bericht von Websense.
Bereits seit Mitte Mai versucht eine andere Gruppe Krimineller auf ähnlichem Wege, Anwender zu infizieren. Dazu schreiben sie ihre verschleierten JavaScripte in HTML-Seiten. Bei dieser auch unter dem Namen Gumblar bekannt gewordenen Attacke manipuliert anschließend ein Trojaner die im Browser des Opfers angezeigten Ergebnisse einer Google-Suche, um auf weitere gefährliche Seiten zu lenken. Gumblar nutzt laut Berichten Lücken in Adobe Reader und Adobe Flash aus und kann weitere Webseiten durch das Ausspähen von FTP-Zugangsdaten selbstständig manipulieren. Der Gumblar-Attacke sollen laut ScanSafe ebenfalls mehrere zehntausend Webseiten zum Opfer gefallen sein.
Siehe dazu auch:
* Mass Injection Compromises More than Twenty-Thousand Web Sites (http://securitylabs.websense.com/content/Alerts/3405.aspx), Meldung von Websense
Quelle : www.heise.de
-
In den letzten Tagen wurden zahlreiche große Websites Opfer eines Massen-Hacks. Dieser verseuchte die betroffenen Seiten - darunter die Web-Präsenzen von Zeitungen, Behörden und wichtigen Unternehmen - mit Malware-Links.
Insgesamt sollen mehr als 100.000 Seiten betroffen gewesen sein. Auf den betroffenen Seiten wurden Links eingefügt, die Besucher auf Seiten weiterleiteten, auf denen Malware verbreitet wird. Betroffen waren Websites, die ein Banner-Ad-Modul in Verbindung mit Microsofts Internet Information Services unter ASP.net verwenden. Das berichtet David Dede, Malware-Experte bei der Monitoring-Firma Securi.
Unter anderem wurden das Wall Street Journal, die The Jerusalem Post, eine britische Polizeidirektion und die Website des Navigationssystems TomTom Opfer dieses Massenhacks. Offenbar wurde SQL Injection verwendet, um iFrames in den kompromittierten Bannern zu platzieren. Auf den Zielseiten wurde JavaScript verwendet, um den Rechner des Opfers mit einer Malware namens "Mal/Behav-290" zu infizieren.
Die meisten der betroffenen Seiten sind mittlerweile gesäubert; laut Dede sind nur noch gut 7000 infizierte Seiten auffindbar. Die Websites, auf denen die Malware gehostet wurde, wurden durch Bemühungen der Freiwilligen-Gruppe Shadowserver Foundation vom Netz genommen.
Der Bericht der Firma Securi ist im Internet erhältlich (http://blog.sucuri.net/2010/06/mass-infection-of-iisasp-sites-robint-us.html).
Quelle : www.gulli.com
-
Die seit rund einer Woche registrierten Massenhacks von Webseiten haben neuesten Analysen zufolge zum Ziel, Online-Gamern die Zugangsdaten für Spiele zu stehlen. Prominenteste Opfer der Hacks waren das Wall Street Journal und die Jerusalem Post.
Bei den Webservern handelt es sich zwar durchgehend um Systeme auf Basis von Microsofts Internet Information Server (IIS) und ASP.NET, den Untersuchungen mehrerer Sicherheitsdienstleister zufolge manipulierten die Angreifer die Webseiten aber offenbar über SQL-Injection-Schwachstellen in den selbst geschriebenen Webanwendungen der Betreiber. Administratoren sollten ihre Systeme auf mögliche Manipulationen überprüfen.
Durch die SQL-Injection-Schwachstelle waren (und sind) die Angreifer in der Lage, eigenen HTML-Code und JavaScript in die Datenbank des Content Management Systems (CMS) zu schreiben. Konkret betteten sie Code ein, der in einem iFrame einen Exploit für eine seit über einer Woche bekannte Lücke im Flash Player nachlädt. Darüber versuchen die Kriminellen, die PCs von Besuchern mit Trojanern zu infizieren. Der hat vermutlich zum Ziel, die Zugangsdaten zu asiatischen Spieleseiten wie aion.plaync.co.kr, aion.plaync.jp und df.nexon.com zu stehlen. Die Lücke im Flash Player ist in Version 10.1 geschlossen.
Bei ihrem Angriff gingen die Täter nach Angaben des Web-Application-Firewall-Herstellers (WAF) Armorize sehr geplant vor. Vor der eigentlichen SQL-Injection hätten Skripte zunächst nach möglichen verwundbaren Systemen gesucht, um sie dann später mit der Zero-Day-Exploit zu infizieren. Dabei seien laut Armorize auch Techniken zum Austricksen von Web-Application-Firewall eingesetzt worden.
Urheber der Angriffe soll vermutlich eine unter dem Namen dnf666 bekannte Gruppe aus China sein, die auch schon im März der Urheber einer größeren SQL-Injection-Attacke gewesen sein soll.
Quelle : www.heise.de
-
Kriminelle haben über eine automatisierte SQL-Injection-Attacke hunderttausende von Webseiten manipuliert und dabei Links zu Domains mit Scareware eingebettet. Besucher einer infizierten Webseiten bekamen dann unter Umständen eine weitere Seite zu Gesicht, in der ein vorgeblicher Viren-Scanner eine Infektion des Systems vorgaukelte.
Unklar ist allerdings, in wievielen Fällen es den Kriminellen gelang, die Links so einzubauen, dass sie auch wirklich funktionierten. Durch die relativ ungezielte SQL-Injection-Attacke auf Inhaltsdatenbanken von Content-Management-Systemen gelangten die Links in vielen Fällen in Felder, in denen sie bei der Darstellung überhaupt nicht interpretiert und damit auch nicht abgerufen werden – beispielsweise im Titel einer Seite. Die URLs fanden sich nach Angaben von Websense auch in einige URLs zu itunes-Podcasts, die ihren Weg dorthin eventuell über manipulierte RSS-Feeds des jeweiligen Anbieters fanden. Auch dort lief der Angriff offenbar jedoch ins Leere, weil der Browser die injizierten Links nicht interpretierte.
Zu den URLs gehörte unter anderem eine Adresse in der Domain lizamoon.com, weshalb der Vorfall von vielen Sicherheitsexperten als lizamoon-Attacke bezeichnet wird. Die Domains sind mittlerweile nicht mehr erreichbar. Der Sicherheitsspezialist Dancho Danchev hat eine nähere Analyse aller bei der Scareware-Kampagne benutzten Domains veröffentlicht. Sie führten nach seinen Angaben letztlich alle auf eine einzige IP-Adresse. Die Domains wurden erst vor wenigen Tagen über automatisch registrierte Google-Mail-Konten beantragt.
Betreiber von Webservern sollten ihre Webseiten auf injizierte JavaScript-Tags mit Links wie
<script src=http://lizamoon.com/ur.php></script>
hin untersuchen und diese entfernen. Zusätzlich gilt es, die SQL-Injection-Lücke zu finden, durch die sich die Inhalte einschmuggeln ließen. Unter Umständen kann es genügen, eine aktuelle Version der benutzten Webanwendung zu installieren, möglicherweise muss man sich auch professionelle Hilfe holen und die Anwendung von einem Code-Auditor oder Penetration-Tester untersuchen lassen.
Quelle : www.heise.de
-
... möglicherweise muss man sich auch professionelle Hilfe holen und die Anwendung von einem Code-Auditor oder Penetration-Tester untersuchen lassen.
Hoffe ja nicht, dass der Würfel zu den befallenen Seiten gehört/e ;D
Aber diese Berufsfelder kannte ich noch nicht: Code-Auditor und Penetration-Tester (ersteres hätte ich eher der Magen/Darm-Schnüffler Berufsgenossenschaft, letzteres eher der Porno-Branche zugeordnet :embarassed:)
-
Bei einem Einbruch in die Systeme eines australischen Webhosters sind knapp 5.000 Webpräsenzen zerstört worden. Die Angreifer gingen so vor, dass sich die Daten nicht mehr herstellen lassen.
Nach einem Angriff auf die Systeme des australischen Webhosters und Registrars Distribute.IT sind die Daten von knapp 5.000 Websites endgültig verloren. Vier Server seien derart in Mitleidenschaft gezogen worden, dass sich die Daten nicht mehr herstellen ließen, teilte das Unternehmen mit.
Unbekannte waren am 11. Juni 2011 in die Systeme von Distribute.IT eingedrungen. Die Angreifer seien koordiniert vorgegangen, um "so viel Schaden wie möglich an unseren Systemen und an unserer Software" anzurichten. Der Angriff sei präzise durchgeführt worden und habe nur eine kurze Zeit gedauert. Ziel waren die Datensysteme der Server, wodurch die Angreifer trotz der kurzen Zeit einen immensen Schaden anrichteten. Sie hätten damit auch Backups und alle weiteren Daten zerstört, die für eine Wiederherstellung der Server nötig gewesen wären. Betroffen waren 4.800 Domains und Kundenkonten.
Die Experten für die Wiederherstellung von Daten hätten rund um die Uhr gearbeitet, um die Daten zu retten. Die Chancen, dass sich die Daten von den vier genannten Servern noch retten ließen, seien aber sehr gering. "Wir bedauern, jetzt mitteilen zu müssen, dass alle Experten die Daten, Sites und E-Mails, die auf Drought, Hurricane, Blizzard und Cyclone gehostet wurden, für verloren halten."
Nach dem Angriff verfügt Distribute.IT nicht mehr über die Speicherkapazität, um die betroffenen Domains und Kundenkonten weiter selbst zu hosten. Das Unternehmen wird die Betroffenen nach eigenen Angaben dabei unterstützen, zu anderen Anbietern umzuziehen.
Quelle : www.golem.de
-
bin zwar kein Experte aber: sollten Backups nicht dezentral gelagert werden und in niemals auf der gleichen Maschine(nverbund) gelagert werden ? war da nicht was mit monatlichen voll-backup und dann incremential backup?
Und wieso kann jemand via remote auf die backup-teile zugreifen?
so leid es mir tut, da scheint aber einiges schief gegangen zu sein, der entsprechende Admin hat seinen Job nicht allzu gut gemacht.
Kleines Beispiel aus der Praxis: Hier werden regelmäßig ca 36-110 TB aus der Renderfarm gesichert -> geht zuerst auf nen Spectra nTier700 für monatlichen/ wöchentlichen/ täglichen Backup, -> danach weiter auf nen Spectra T50e /LTO 5. Beide Teile können nur vor Ort gestartet/verändert werden und arbeiten nur im Pull-Verfahren, fürs zurück spielen gibt es eine weitere Station. Die Bänder werden in nen Tresor gelagert, also auch hier kaum Zugriff. OK, das ist zwar keine Lösung für den Hausgebrauch, aber auch nicht soo teuer wenn man mal die Preise für die andere Hardware oder einen Ausfall betrachtet.
edit: hab mir grade mal den Preis für eine Stunde Ausfall unserer Server nennen lassen, liegt bei ca 70-160 tausend $ :aah
-
sollten Backups nicht dezentral gelagert werden und in niemals auf der gleichen Maschine(nverbund) gelagert werden ? war da nicht was mit monatlichen voll-backup und dann incremential backup?
Korrekt ...so hab ich das auch mal gelernt ...ist mir echt unbegreiflich was da gelaufen ist ...
-
Na gut, das wären etwas zu viele Daten für eine eSATA Platte.
Auf die Art führe jedenfalls ich die physische Trennung von Original und Sicherungen durch.
Der Rest geht per pedes...
Berti hat ja so recht.
In jedem Rechenzentrum müsste es möglich sein, die Server über eine unabhängige Vernetzung von einen Zwischenspeicher aus zu spiegeln, dann diese Vernetzung zu trennen und erst jetzt die Spiegelung über eine weitere nur dann herzustellende exklusive Verbindung den ersten Backup-Speicher schreiben zu lassen. Und so weiter.
Diese Verbindungen müssten jeweils von der Ziel-Maschine hergestellt und getrennt werden.
Und zum eventuellen Zurückspielen wird ohnehin ein administratives Eingreifen vorausgesetzt, natürlich ebenfalls über nicht permanente aber gesicherte Verbindungen, die nicht vom zu sichernden System aus verwaltet werden.
Eine höhere Sicherheit als nur die von Firewalls und Intrusion Detection Systemen am Server liesse sich auch erreichen, indem für die temporären Verbindungen verwendete Gerätschaften (Router o.ä.) zumindest teilweise von den Sicherungszielen aus ferngesteuerte Netzschalter bekommen. Das könnte sogar direkt per Telefonnetz geschehen, statt per Internet...
Im Regelfall ist Sicherung zeitlich geplant, also spielt eine kurze Boot-Phase keine Rolle.
Und beim Zurückspielen im Ernstfall wohl auch nicht wirklich.
Sinnvollerweise nutzt man, wenn ortsfremde Anbindung gefragt ist, physisch getrennte Netz(zugäng)e.
Und natürlich darf der zu sichernde Server die Sicherungsgeräte gar nicht kennen, sodass von ihm aus keine Erkenntnisse darüber zu gewinnen wären.
-
Unbekannte haben einem Bericht von Amorize zufolge zahlreiche Onlineshops mit einer veralteten Version von osCommerce zur Verbreitung von Schadcode missbraucht. Die Angreifer nutzten mindestens drei bekannte Schwachstellen in der Version 2.2. des quelloffenen Shopsystems aus, um sich Zugriff auf die Konfigurationsoberflächen der Shops zu verschaffen. Dadurch konnten die Unbekannten zunächst ein iFrame und später JavaScript-Code auf den Seiten platzieren, der die Besucher des Onlineshops mit Schadcode infizieren sollte.
Nach Beobachtungen von Armorize gelang es den Angreifern, die Anzahl der infizierten Shopseiten innerhalb kürzester Zeit drastisch zu erhöhen: lieferte Google bei er ersten Sichtung lediglich 90.000 Suchtreffer mit dem eingebetteten Schadcode, waren es am vergangenen Sonntag nach einer Woche bereits 3,8 Millionen. Allerdings werden hierbei mitunter auch mehrere Unterseiten eines Shops gezählt. Bei einem Test von heise Security am Dienstagnachmittag lieferte Google sogar rund 4,5 Millionen infizierte Seiten, von denen 160.000 deutschsprachig waren.
In die gekaperten Seiten hatten die Täter Schadcode mit insgesamt fünf Exploits eingebettet. Die Angreifer wollten damit Lücken in Java, Adobe Reader, Windows Hilfecenter und Internet Explorer zur Infektion der Besucher ausnutzen. Zwar existieren längst Patches für diese Schwachstellen, da es die Angreifer aber gleich auf vier Programme abgesehen hatten, ist die Wahrscheinlichkeit hoch, dass doch mal einer der Besucher einen Patch versäumt hatte. Inzwischen sind die Domains, über die der Schadcode verteilt wurde, nicht mehr erreichbar.
Auch Shopbetreiber scheinen schon mal einen Patch auszulassen: osCommerce-Entwickler Harald Ponce de Leon bestätigte gegenüber heise Security, dass die für den Einbruch genutzten Lücken bereits im November vergangenen Jahres mit Update auf osCommerce 2.3 geschlossen wurden. Inzwischen steht das Shopsystem in den Versionen 2.3.1 und 3.0.1 zum Download bereit.
Quelle : www.heise.de
-
Über eine Million Webseiten sind von der sogenannten "Lilupophilupop.com"-SQL-Injection betroffen, berichtet das Internet Storm Center (ISC). Die Angriffsrate steigt den Angaben zufolge stetig, noch Anfang Dezember sollen gerade einmal 80 Webseiten betroffen gewesen sein. In Deutschland belaufe sich die Zahl der betroffenen Seiten auf knapp 50.000. Laut Mark Hofman vom Storm Center richtet sich die Attacke gezielt gegen auf IIS-Webserver laufende ASP-Webseiten und Adobes ColdFusion-Middleware. Sie soll auf allen Versionen von Microsofts SQL-Datenbank (MSSQL) funktionieren.
Bei dieser SQL-Injection werden Websites so infiziert, dass sie etwa versuchen, dem Besucher Scareware unter zu schieben. Um herauszufinden, ob eine Seite befallen ist, hilft eine Google-Suche nach dem String "<script src="http://lilupophilupop.com/" unter Verwendung des "site:"-Parameters und der zu überprüfenden Website. Wird ein Ergebnis ausgeliefert, so sei die Seite infiziert. Ebenfalls könne anhand der Log-Files erkannt werden ob ein System betroffen ist. Abhilfe sollte die Sperrung der Domain Lilupophilupop.com schaffen.
Bei SQL-Injections werden Sicherheitslücken ausgenutzt, um so eigene Datenbankbefehle einzuschleusen. Diese Art von Angriffen sind laut einer Studie des Sicherheitsspezialisten Rob Rachwald die größte Schwachstelle in der Computergeschichte. Seit 2005 seien SQL-injections verantwortlich für 83 Prozent aller erfolgreicher Hacks.
Quelle : www.heise.de
-
Google hat auf einen Schlag die Webmaster von 20.000 Sites darüber informiert, dass ihre Seite vermutlich gehackt wurde. Dies gab Matt Cutts, der Leiter von Googles Webspam-Team, bei Twitter bekannt. In der Mail (http://www.traidnt.net/vb/traidnt2077417/) warnt der Suchmaschinenriese davor, dass die betroffenen Seiten anscheinend genutzt werden, um die Besucher auf eine verseuchte Seite umzuleiten.
Der Empfänger der Mail wird aufgefordert, die Dateien auf seine Webspace nach dem JavaScript-Code eval(function(p,a,c,k,e,r) zu durchsuchen. Über die Funktion eval() kann man Zeichenketten, die zuvor unter Umständen über eine Entpackfunktion entschlüsselt wurden, als JavaScript-Code ausführen. Auch vor manipulierten .htaccess-Dateien wird gewarnt. Diese können dazu führen, dass eine Umleitung nur unter bestimmten Umständen aktiv wird; etwa wenn der Besucher die Seite über Google aufruft. Stammbesucher, einschließlich des Webmasters, bemerken die Infektion dadurch nicht.
Die Mail enthält einen Link zu einer Erste-Hilfe-Anleitung (https://support.google.com/webmasters/bin/answer.py?hl=en&answer=163634), die den Webmaster dabei unterstützen soll, seine Seite zu säubern. Darüber hinhaus wird er ausdrücklich dazu aufgefordert, die zur Infektion genutzte Sicherheitslücke zu schließen. Google hat Ende 2010 damit begonnen, Webmaster auf diese Weise zu warnen. Damals kündigte das Unternehmen an, zusätzlich in den Google-Suchergebnissen vor einem Besuch der verseuchten Seiten warnen zu wollen.
Quelle : www.heise.de
-
Bei zwei Hackerangriffen wurden potentiell bis zu 1,4 Millionen Accounts kompromittiert. Am vergangenen Dienstag informierten die Betreiber von AndroidForums.com ihre über eine Million Mitglieder darüber, dass der Server gehackt wurde und es dabei auch Zugriff auf die Nutzerdaten gab. Die Betreiber können nicht ausschließen, dass die Eindringlinge dabei sämtliche Mailadressen und die, nach eigenen Angaben gesalzenen, Passwort-Hashes entwendet haben.
Auch die Webseite des Grafikkartenherstellers Nvidia wurde attackiert. Die Angreifer griffen auch hier auf Mailadressen und gesalzene Passwort-Hashes zu. Darüber hinaus sind die in den Benutzerprofilen angezeigten persönlichen Informationen betroffen. Gegenüber heise Security erklärte das Unternehmen, dass neben dem Hauptforum (forums.nvidia.com) mit rund 290.000 registrierten Mitgliedern auch auf die Daten des Entwicklerbereichs (developer.nvidia.com) zugegriffen wurde, der ungefähr 100.000 Mitglieder zählt. Darüber hinaus sind die rund 1200 Datensätze des Forschungsbereichs (research.nvidia.com) betroffen. Nvidia hat die gehackten Webseiten vorübergehend gesperrt.
Wer hinter den Angriffen und welches Motiv dahinter steckt, ist bislang völlig unklar. Wer bei einem der Dienste registriert ist, sollte umgehend sein Passwort ändern – und zwar auf allen Webseiten, auf denen es genutzt wird. Die Cyber-Einbrecher bedienen sich wie selbstverständlich im großen Stil an den Nutzerdaten prominenter Seiten. Wer da noch ein und dasselbe Passwort auf bei sämtlichen Webdiensten nutzt, handelt grob fahrlässig. Wie gefährlich das werden kann, war jüngst bei GMX zu sehen: Spam-Versender konnten sich mit geklauten Zugangsdaten bei tausenden GMX-Accounts einloggen.
Momentan gibt es eine unerklärliche Häufung von Passwortdiebstählen: Erst vergangenen Mittwoch wurden bei einem Yahoo-Dienst die Mailadressen und Klartext-Passwörter von über 450.000 Nutzern geklaut und anschließend veröffentlicht. Davor wurden mehrere Millionen Datensätze bei dem Business-Netzwerk LinkedIn, der Musik-Community Last.fm und der Datingseite eHarmony.com ins Netz gestellt. Diese waren zwar gehasht, wurden inzwischen jedoch zu einem Großteil geknackt.
Quelle : www.heise.de
-
Ende vergangene Woche berichtete der Grafikkartenhersteller Nvidia vom Einbruch die Datenbank seiner Webseite; betroffen sind die Daten von rund 400.000 registrierten Nutzern. Nun hat sich bei Pastebin eine Hackergruppe namens "Team Apollo" zu Wort gemeldet, die für den Einbruch verantwortlich sein will.
Als Beweis haben sie einen Datenbankauszug mit den Mailadressen und Passwort-Hashes von rund 800 Nutzern veröffentlicht (http://pastebin.com/G21ytATD), weitere sollen folgen. Sollten die Daten echt sein, würde dies der Aussage von Nvidia widersprechen, dass die Passwort-Hashes gesalzen waren: In dem Auszug befindet sich drei mal der Hash b018f55f348b0959333be092ba0b1f41 – das Ergebnis von md5('nvidia123');.
Darüber hinaus machen die Hacker darauf aufmerksam, dass auch Nvidias Onlineshop von dem Vorfall betroffen ist, was Nvidia gegenüber heise Security nicht erwähnt hatte. Der Einbruch liegt laut der Hackergruppe schon eine Weile zurück. Die Gruppe hat die Daten angeblich kopiert, um "widerwärtige Unternehmen [...] ihrer gerechten Strafe zuzuführen". Um welche Unternehmen es geht und wie diese "gerechte Strafe" aussieht, lassen die Hacker offen.
Quelle : www.heise.de
-
Bei den in den letzten Wochen gehäuft aufgetretenen Einbrüchen in Datenbanken mit Kundendaten (LinkedIn, eHarmony, Last.fm, Yahoo Voice Yahoo! Contributor Network, etc.), könnte man auf die Idee kommen, dass da Fachleute am hacken waren — dem muss aber nicht so sein. Auch DAUs kommen leicht per SQL-Injection (und dem richtigen Werkzeug), an Zugangsdaten — und dies ohne jegliche Kenntnisse, wie eine SQLi-Lücke konkret ausgenutzt werden kann.
Der ganze Artikel (http://meingottundmeinewelt.de/2012/07/12/sql-injection-fur-scriptkiddies/)
Quelle : http://meingottundmeinewelt.de
-
Rund acht Millionen E-Mail-Adressen mit Passwort des Hamburger Onlinegamesanbieters Gamigo sind im Internet aufgetaucht. Im März 2012 hatte die Tochter des Axel Spinger Verlags bekanntgegeben, dass Hacker sich Zugang zu Nutzerkonten verschafft hatten.
8,243,809 Datensätze mit E-Mail-Adressen und - zumindest ursprünglich - verschlüsselten Passwörtern sind im Internet aufgetaucht, wie Gamigo Golem.de bestätigt hat. Im Juli 2012 wurde ein Link in einem Forum auf eine 478 MByte große Datei mit den Informationen veröffentlicht. Ende Februar 2012 hatten sich ein oder mehrere Hacker mit dem Pseudonym "8in4ry_Munch3r" Zugriff auf Nutzerkonten von Gamigo verschafft, kurze Zeit später informierte das Hamburger Unternehmen seine Kunden über den Einbruch.
Die Datei ist jetzt wieder gelöscht, allerdings hat der Betreiber von Pwnedlist.com sie analysiert. Er bietet eine kostenlose Überprüfung an, ob eine Mail-Adresse in den Daten von Gamigo vorkommt. Zwar waren die Passwörter ursprünglich durch Hashes geschützt, allerdings lässt ein weiterer Beitrag in dem Forum, in dem der Link veröffentlicht wurde, darauf schließen, dass die Kodierung im schlimmsten Fall weitgehend - inzwischen wohl eher vollständig - entschlüsselt ist.
Nach Angaben von Pwnedlist.com befinden sich in dem Datensatz unter anderem rund 2,4 Millionen Nutzerkonten aus Deutschland, darunter allein rund 100.000 von T-Online. Dazu kommen 3 Millionen Accounts, die auf US-Kunden hinweisen, und 1,3 Million offensichtlich aus Frankreich stammende Spieler. Wie nicht anders zu erwarten, befinden sich Adressen von allen großen E-Mail-Anbietern in dem Datensatz, dazu kommen Mitarbeiter von Unternehmen wie IBM, Deutsche Bank und Siemens. Rund 5.000 Adressen sollen sich direkt Gamigo zuordnen lassen.
Die Kunden von Gamigo mussten Anfang März 2012 neue Passwörter anlegen, um auf ihr Nutzerkonto zugreifen zu können. Problematisch ist, wie meist in derartigen Fällen, dass viele Kunden das gleiche Passwort in einer Vielzahl von Accounts verwenden - sie sollten schnellstmöglich geändert werden.
Gamigo sei sich der Probleme bewusst und arbeite an einer weiteren Erklärung und Information für Presse und die betroffenen Kunden, so ein Firmensprecher auf Anfrage von Golem.de.
Nachtrag:
Mittlerweile hat sich Gamigo mit einer Stellungnahme zu Wort gemeldet. Nach aktuellem Wissensstand würden die im Netz aufgetauchten Daten "keine neuen Erkenntnisse" bieten. Alle erforderlichen Maßnahmen seien bereits damals umgehend eingeleitet worden. "Dazu gehörten die Information aller betroffenen Nutzer, das Zurücksetzen der Passwörter, die Abschaltung der gehackten Datenbank, eine umfassende IT-Sicherheitsprüfung, das Offline-Stellen von Teilbereichen des Angebots, die Information der zuständigen Behörden sowie die Klärung juristischer Fragen", so Gamigo. Das Unternehmen nehme die jetzige Veröffentlichung zum Anlass, den Vorgang erneut kritisch zu überprüfen.
Quelle : www.golem.de
-
Unbekannte konnten bei einem Hackerangriff auf den Internetoptiker Mister Spex auf die Kundendatenbank zugreifen. Laut dem Berliner Unternehmen hatten die Angreifer dabei Zugriff auf Adressdaten und Passwörter und habe diese möglicherweise auch kopiert. Gehasht waren die Passwörter demnach nicht. Zahlungsinformationen seien nicht betroffen, da diese laut Mister Spex nicht gespeichert werden.
"Wir können nicht mit absoluter Sicherheit sagen, wie viele Daten unerlaubt kopiert wurden. Daher müssen wir davon ausgehen, dass schlimmstenfalls alle unsere Kunden betroffen sind.", schreibt das Unternehmen in einer Mail an seine Kunden.
Der Betreiber gibt an, allen Kunden jeweils ein neues Passwort per Mail geschickt zu haben – was das Problem allerdings nicht gänzlich aus der Welt schafft: Schließlich dürften die Datendiebe mit den geklauten Passwörter in vielen Fällen wegen Mehrfachnutzung auch auf die Mailkonten der Mister-Spex-Kunden zugreifen können.. Wer bei Mister Spex registriert ist und das dort genutzte Passwort auch zur Anmeldung bei anderen Webdiensten eingesetzt hat, sollte es nun überall ändern.
Quelle : www.heise.de
-
Die Anfang August bei einem Hackerangriff geklauten Kundendaten des Online-Brillenladens Mister Spex werden jetzt offenbar für Phishing genutzt. Ein Leser von heise online wies uns heute auf eine Mail hin, die er an eine Adresse bekommen hat, die er ausschließlich Mister Spex gegeben hatte. Ein weiterer, davon unabhängiger Hinweis einer Leserin, die ebenfalls Kundin bei Mister Spex war, erhärtet die Vermutung.
Die Mails sind gut gemacht und erscheinen durch die korrekte Anrede mit dem richtigen Namen glaubwürdig. Sie tragen den Betreff "[korrekter Name], wichtige Mitteilung zu Ihren Zahlungsarten" oder "Wichtige Umstellung Ihrer Zahlungsarten bei Amazon.de, [korrekter Name] !" und stammen von "Amazon Customer Care". Sie enthalten mehrere Links zu amazon.de, aber der entscheidende Link für die Hinterlegung der Kreditkartendaten führt auf die Domain amazon-online-kundenumstellung.com. Diese wurde erst gestern registriert und gehört offensichtlich nicht Amazon.
Da bei dem Einbruch bei Mister Spex auch Passwörter im Klartext entwendet wurden, tun alle Kunden gut daran, ihre Passwörter zu ändern, falls sie dasselbe Passwort auch anderswo verwendet haben.
Quelle : www.heise.de
-
Das Hacker-Kollektiv GhostShell veröffentlichte in Zusammenarbeit mit den Hackergruppen MidasBank und OphiusLab die Daten von 100 gehackten Webseiten. Die Accountdaten von über einer Million Personen wurden so zum Protest freigegeben. Darunter befinden sich zahlreiche Broker, Banken, Waffenhändler, Sicherheitsunternehmen, Polizeibehörden, Beratungsfirmen und viele weitere Unternehmen.
Unter dem Begriff Project Hellfire veröffentlichten (http://pastebin.com/BuabHTvr) drei Hackergruppierungen eine große Anzahl an Accountdaten. Man will damit gegen die Aktivitäten der Politiker, Banken und gegen die Verhaftung diverser Hacker protestieren. Im Begleitschreiben auf Pastebin geben die Aktivisten bekannt, man plane weitere Veröffentlichungen und eine Zusammenarbeit mit Hackern von Anonymous und anderen Organisationen. Dies sei lediglich als Startschuss anzusehen, für Herbst und Winter 2012 seien weitere Aktionen geplant.
Nach Angaben der Sicherheitsfirma Imperva wurden die Daten vor allem bei SQL-Angriffen entwendet. Die Auszüge der Datenbanken enthalten Anmeldedaten von Administratoren, Nutzernamen und Passwörter und Dateien aus Content-Management-Systemen. Vertrauliche Daten sollen in der Publikation eher selten vorkommen. Laut Imperva haben die Hacker gleich mehrfach eine Schwachstelle im Content-Management-System ausgenutzt.
Das Hacker-Kollektiv GhostShell gab bekannt, man sei im Besitz von sechs Milliarden Datensätzen, die man in einem Mainframe-System in China erbeutet habe. Nach Angaben der Hacker seien darin Details zu Technologien aus China, Japan und weiteren Ländern enthalten. Außerdem habe man 100 Milliarden Datensätze von einem Mainframe-Rechner einer nicht namentlich genannten US-Börse gestohlen und sich Zugriff bei mehreren Servern des US-Heimatschutzministeriums verschafft.
In der Analyse von Imperva kommt man zu dem Schluss, dass viele Unternehmen und deren Angestellten noch immer sehr nachlässig mit ihren Passwörtern umgehen. Viele Passwörter würden das übliche "123456-Problem" aufweisen, zahlreiche Zugangsdaten können von Cyberkriminellen auch ohne einen Hack erahnt werden. In vielen Unternehmen wird zudem noch immer nicht dafür gesorgt, dass die Mitarbeiter regelmäßig ihre Passwörter ändern müssen.
Quelle : www.gulli.com
-
Die betroffenen Webseiten, viele davon aus Deutschland, liefern Online-Casino-Spam an Besucher aus, die von Suchmaschinen kommen und fungieren so als Linkfarmen. Welche Sicherheitslücke ausgenutzt wird, ist noch unklar.
Eine große Anzahl von Webseiten, die das Content Management System (CMS) Typo3 einsetzen, ist offenbar Opfer eines Hackerangriffs geworden. Der Angriff scheint nur Seiten zu betreffen, welche die Long-Term-Support-Version (4.5.x) des CMS einsetzen. Welche Sicherheitslücke ausgenutzt wird, ist momentan nicht bekannt. Eine entsprechende Google-Suche deutet darauf hin, dass hunderte von Webseiten betroffen sind, viele davon in Deutschland.
Der ganze Artikel (http://www.heise.de/security/meldung/Hunderte-Typo3-Webseiten-gehackt-2148372.html)
Quelle : www.heise.de
-
Die Typo3 Association hat keine Informationen zu der Schwachstelle hinter dem Casino-Spam-Hack, der viele Typo3-Webseiten betrifft, und vermutet, dass der Hack andere Ursachen hat. Seiten ohne Typo-Installation sollen ebenfalls betroffen sein.
Im Fall der gehackten Typo3-Webseiten, die zur Anzeige von Online-Casino-Spam missbraucht wurden, gibt es nach wie vor keine Informationen über die zugrunde liegende Sicherheitslücke. Die gemeinnützige Typo3 Association, welche die Entwicklung des Content Management Systems (CMS) koordiniert, empfiehlt nun, auf eine aktuelle Version der Software zu wechseln. Eine Google-Suche nach den charakteristischen Merkmalen des Hacks fördert vorwiegend Seiten mit der Typo3-Long-Term-Support-Version 4.5.x zu Tage.
Der ganze Artikel (http://www.heise.de/security/meldung/Hintergruende-des-Typo3-Hacks-weiter-im-Dunkeln-2149176.html)
Quelle : www.heise.de
-
Russische Hacker haben Online-Profile gleich milliardenfach abgegriffen. Die Security-Firma, die das Leck publik machte, will Nutzer nun für die Gewissheit, ob ihre Daten kompromittiert sind, zur Kasse bitten.
Die Meldung des wohl bisher größten Identitätsdiebstahls im Internet durch Hold Security aus Milwaukee hat eingeschlagen wie eine Bombe: Sage und schreibe 1,2 Milliarden Profildaten sollen russische Hacker erbeutet haben.
Dass die Nachricht gerade jetzt auftaucht, ist wohl alles andere als ein Zufall, denn noch bis Donnerstag läuft mit der Black Hat in Las Vegas eine der weltweit renommiertesten Hacker-Konferenzen der Welt. So wollte Hold Security dann auch prompt aus dem Scoop Kapital schlagen und bot zeitgleich mit der Veröffentlichung in der New York Times einen Dienst an, der Seitenbetreibern gegen eine jährliche Gebühr von 120 US-Dollar warnt, wenn ihre Webpräsenz zu einer der 420.000 in dem Riesenleck betroffenen zählt.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/1-2-Milliarden-geklaute-Profil-Daten-Sicherheitsfirma-laesst-Opfer-im-Dunkeln-tappen-2287238.html)
Quelle : www.heise.de
-
Eine Hackergruppe will massenweise Online-Konten des PlayStation Networks, von Windows Live, Twitter, Facebook und des Spiele-Publishers 2K Games erbeutet haben. Kreditkartendaten sollen sich auch darunter befinden.
(http://3.f.ix.de/scale/geometry/600/q75/imgs/18/1/3/8/2/8/7/2/derptrolling-ccce2225fc6bfd96.png)
Hacker, die unter der Bezeichnung Derptrolling firmieren, wollen an die sieben Millionen Nutzerkonten von Facebook, dem PlayStation Network (PSN), dem EA-Dienst Origin, von Windows Live und von Twitter erbeutet haben. Um die Hacks zu belegen, stellten sie eine Liste mit über 5500 Nutzernamen und Passwörtern ins Internet. Diese sollen zu Accounts des PSN, zu Windows-Live-Konten und zu Servern des Spiele-Publishers 2K Games gehören. Ob die Nutzernamen und Passwörter echt sind, ist bis jetzt nicht geklärt. Unter anderem will die Gruppe auch eine halbe Million Kreditkartendaten von 2K haben.
Wie die US-Nachrichtenseite CNet berichtet, hat sich die Gruppe auch zu DDoS-Angriffen auf Blizzards World-of-Warcraft-Server am Wochenende bekannt. Beim Launch der Spielerweiterung Warlords of Draenor war es unter anderem durch solche Angriffe zu massiven Beeinträchtigungen des Online-Spiels gekommen. Die Gruppe gibt an, unter anderem mit der Assad-nahen Syrian Electronic Army und den Hackern der Lizard Squad zusammengearbeitet zu haben. Letztere Gruppierung hatte sich mit DDoS-Angriffen auf das PlayStation Network einen Namen gemacht. Man habe bei früheren Aktionen unter anderem das komplette syrische Internet und die gesamte .mil-Domain des US-Militärs lahmgelegt. Überprüfen lassen sich diese großspurigen Behauptungen indes nicht.
Quelle : www.heise.de