CyberCompare

18. Juni 2021: Datenleck bei VW ++ Sicherheitslücke bei Heimtrainer ++ Firmen-Chef nach Cyberangriff verhaftet

Datenleck bei VW: Knapp 5 Mio. Kundendaten im Darknet aufgetaucht

Bei Volkswagen in Nordamerika ist ein Datenleck aufgetreten: Durch eine Panne bei einem Geschäftspartner waren Daten von mehr als 3,3 Millionen Kunden über ein Jahr lang ungesichert im Internet zugänglich.

Die Volkswagen Group of America (VWGoA) erklärte, dass die Kundendaten zwischen 2014 und 2019 für Vertriebs- und Marketingzwecke gesammelt wurden. Sie befanden sich in einer elektronischen Datei, die der Anbieter ungesichert und online „irgendwann“ zwischen August 2019 und Mai 2021 offengelegt hatte.

Am 20. März wurde die VWGoA vom Anbieter darüber benachrichtigt, dass eine unbefugte Person auf die Daten zugegriffen habe und möglicherweise im Besitz von sensible Kundeninformationen von Audi, Volkswagen und einigen anderen Vertragshändlern ist.

Laut VW handelt es sich bei dem Großteil der Daten um Kontaktinformationen. Das Datenleck umfasse etwa Namen, E-Mail-Adressen, Telefon- und teilweise Fahrzeugnummern von rund 3,1 Millionen Audi-Kunden in den USA und 163.000 in Kanada sowie 3.300 US-Kunden von VW. Es seien allerdings auch vertraulichere Daten von ungefähr 90.000 Audi-Kunden ungeschützt gewesen. In 95 Prozent dieser Fälle gehe es um Führerscheinnummern – ein geringer Teil betreffe auch hochsensible Angaben wie US-Sozialversicherungsnummern.

Die Daten sind am 14. Juni in einem beliebten Hackerforum aufgetaucht. Laut Berichten von Bleepingcomputer stehen über 5 Millionen Datensätzen im Darknet bereit.

Was können betroffene Kunden tun?

Da die Daten von Audi und Volkswagen lange Zeit ungesichert waren, ist nicht abzusehen, wie viele Personen sich unberechtigt Zugang verschafft haben. Daher sollte jede Kommunikation, die behauptet, von Audi oder Volkswagen zu sein, misstrauisch behandelt werden, insbesondere E-Mails oder SMS. Wer sensiblere Daten preisgegeben hat, sollte seine Kreditauskunft einfrieren, um es Dritten zu erschweren, Identitätsdiebstahl zu begehen und Kredite unter Ihrem Namen aufzunehmen.

Quelle:

https://www.bleepingcomputer.com/news/security/audi-volkswagen-customer-data-being-sold-on-a-hacking-forum/

https://www.bleepingcomputer.com/news/security/audi-volkswagen-data-breach-affects-33-million-customers/

https://edition.cnn.com/2021/06/11/cars/vw-audi-hack-customer-information/index.html

Sicherheitslücke bei Heimtrainer Peloton entdeckt

Das Android-System des Fitnessgerät Peloton Bike+ ist verwundbar. Angreifer sollen die volle Kontrolle über den Heimtrainer erlangen können. Das haben Sicherheitsforscher von McAfee entdeckt. Nach erfolgreichen Attacken ist es vorstellbar, dass Angreifer Zugriff auf die im Fitnessgerät verbaute Kamera und das Mikrofon haben.

Aufgrund eines Bugs konnten die Sicherheitsforscher ein modifiziertes Image booten. Ihnen zufolge hatten sie im Anschluss vollen System-Zugriff mit Root-Rechten. Das Fahrrad soll sich nach dem Hack ganz normal verhalten und benutzbar sein. Angreifer könnten im Hintergrund aber eigenen Code laufen lassen.

So wäre es beispielsweise vorstellbar, dass sie auf dem Heimtrainer gespeicherte persönliche Daten von Trainierenden auslesen oder das Gerät als Sprungbrett ins Netzwerk nutzen.

„Ein böswilliger Akteur könnte das Produkt an jedem beliebigen Punkt von der Konstruktion über das Lager bis hin zur Auslieferung manipulieren und eine Hintertür in das Android-Tablet einbauen, ohne dass der Endbenutzer dies mitbekommt“, heißt es im Bericht von McAfee

„Ein anderes Szenario könnte sein, dass ein Angreifer einfach zu einem dieser Geräte geht, das in einem Fitnessstudio oder einem Fitnessraum installiert ist, und den gleichen Angriff durchführt, um Root-Zugriff auf diese Geräte für die spätere Nutzung zu erlangen“.

Sobald ein Angreifer über Root-Rechte verfügt, könne er permanenten Zugriff erlangen, indem er das Betriebssystem in Form eines Rootkits modifiziert. So müsse der Angreifer diesen Schritt nicht mehr wiederholen.

Im folgenden Video demonstriert McAffee die Schwachstelle des Peloton Bikes:

Quelle: https://youtu.be/RLjXfvb0ADw

Adrian Stone, Head of Global Information Security bei Peloton, teilte Folgendes mit: „Diese von McAfee gemeldete Schwachstelle würde direkten, physischen Zugang zu einem Peloton Bike+ oder Tread erfordern. Wenn ein Angreifer in der Lage ist, sich physischen Zugang zu einem Gerät zu verschaffen, werden zusätzliche physische Kontrollen und Sicherheitsvorkehrungen immer wichtiger – wie bei jedem angeschlossenen Gerät im Haus […]. Wir haben Anfang Juni ein obligatorisches Update aufgespielt und jedes Gerät, auf dem das Update installiert ist, ist vor diesem Problem geschützt.“

Quellen:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/a-new-program-for-your-peloton-whether-you-like-it-or-not/

https://www.heise.de/news/l-f-Hacker-radeln-ins-Netzwerk-6072281.html

Chef von IoT Security Firma nach Cyber-Angriff auf Krankenhaus verhaftet

Der Chief Operating Officer eines IoT-Sicherheitsunternehmens wurde von einer Bundesjury wegen eines Cyberangriffs auf ein Krankenhaus in Georgia angeklagt.

Vikas Singla aus Marietta im US-Bundesstaat Georgia wurde am Donnerstag wegen seiner mutmaßlichen Rolle bei dem Angriff auf das Gwinnett Medical Center im Jahr 2018 angeklagt, bei dem persönliche Daten von Patienten preisgegeben wurden.

Das Zentrum, das jetzt als Northside Hospital bekannt ist, war ein gemeinnütziges Gesundheitsnetzwerk, das Gesundheitsdienstleistungen in zwei Krankenhäusern in Georgia anbot; eines in Duluth und das andere in Lawrenceville.

Singla war COO und Mitbegründer des in Atlanta ansässigen Startups Securolytics, das die Gesundheitsbranche mit einer Cloud-basierten Plattform zur Erkennung und Analyse von Bedrohungen belieferte, die speziell für das Internet der Dinge (IoT) entwickelt worden war.

Laut der Anklageschrift ging es um die Beschädigung eines oder mehrerer Computer, die das Ascom-Telefonsystem des Krankenhauses steuerten, sowie um die Störung des Druckerbetriebs und den Diebstahl von Daten.

Staatsanwälte sagten, dass der Angriff zum Teil durch finanziellen Gewinn motiviert war.

Details zu den Einzelheiten des Datenverstoßes, einschließlich der Frage, wie genau es dazu kam, was Singla versucht haben könnte und wie er erwischt wurde, bleiben unbekannt. Das DOJ sagte, dass das FBI den Angriff noch untersucht.

Der Fall zeigt die potenziellen Risiken auf, denen das Gesundheitswesen in Bezug auf Lieferanten ausgesetzt sind, da diese bei der Beauftragung Zugriff haben.

Quelle:

https://www.infosecurity-magazine.com/news/coo-charged-in-georgia-hospital/  

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.