wordpress

Lizenznehmer von Harvard Business Publishing von Ransomware Security Affairs betroffen

Meta description


Bedrohungsakteure griffen auf eine Datenbank mit mehr als 152.000 Kundendatensätzen zu, bevor ihr Eigentümer, die türkische Niederlassung von Harvard Business Review, sie abschaltete.

Die Gauner hinterließen eine Lösegeldforderung und drohten damit, die Daten freizugeben und die Behörden über Verstöße gegen die EU-Datenschutzgrundverordnung (DSGVO) zu informieren.

Originalartikel veröffentlicht auf CyberNews

Eine aktuelle Entdeckung des Cybernews-Forschungsteams ist ein hervorragendes Beispiel dafür, dass offene Datenbanken ein großes Risiko für Unternehmen und Verbraucher darstellen.

  • Am 16. September entdeckte Cybernews eine offene Datenbank, die einem Lizenznehmer von Harvard Business Publishing in der Türkei namens Infomag gehörte.
  • Drei Tage später besuchten Cybernews-Forscher die Datenbank erneut, um zu sehen, ob sie heruntergefahren worden war, und stellten fest, dass sie von Ransomware getroffen worden war.
  • Ein Angreifer forderte ein Lösegeld von 0,01 BTC (etwa 200 US-Dollar), drohte damit, Daten preiszugeben, und warnte vor hohen Bußgeldern im Zusammenhang mit möglichen DSGVO-Verstößen.
  • Eine Cybernews-Untersuchung ergab, dass mindestens fünf Opfer den Forderungen der Cyberkriminellen nachgekommen sind. Die letzte Zahlung an die Angreifer erfolgte jedoch am 31. Juli, sodass es keine Hinweise darauf gibt, dass Infomag das Lösegeld gezahlt hat.

Entdeckung

Am 16. September entdeckten Forscher eine ungeschützte MongoDB-Instanz, die zu infomag.com.tr gehört, einem unabhängigen Lizenznehmer, der sich im Besitz und Betrieb von Harvard Business Publishing (HBP), einer hundertprozentigen Tochtergesellschaft der Harvard University, befindet.

Laut seiner Website veröffentlicht Infomag Bloomberg Businessweek und Harvard Business Review auf Türkisch.

Die in der Türkei gehostete Datenbank war 3,9 GB stark und hatte über 19,5 Millionen Datensätze, obwohl es einige Duplikate gab und einige Daten nicht sensibel waren.

Insgesamt hat die Datenbank mehr als 152.000 Kundeninformationen wie E-Mails, Namen, Links zu LinkedIn-, Twitter- und Facebook-Profilen und gehashte Passwörter preisgegeben. Einige wurden durch einen schwachen Verschlüsselungsalgorithmus wie MD5 geschützt, andere wurden mit bcrypt verschlüsselt, das als starker Hash gilt.

Die Instanz enthielt auch 15 Mitarbeiter-E-Mails, Namen und Passwörter, die durch einen schwachen SHA1-128-Bit-Hash geschützt waren. Einige Anmeldedatenpaare gehörten Benutzern von Harvard Business Review English (@hbr.org).

Der älteste Eintrag stammt aus dem Jahr 2017, und es ist unklar, wie lange diese Instanz geöffnet war, bevor Cybernews sie entdeckte.

Der Datensatz enthielt auch Zahlungsprotokolle mit E-Mails, Datumsangaben, Banknamen, Telefonnummern und Internet Protocol (IP)-Adressen. Infomag speicherte auch die physischen Adressen bestimmter Unternehmen und Einzelpersonen sowie die Steueridentifikationsnummern der Unternehmen.

  • Die 3,9 GB große Datenbank enthielt Informationen aus dem Jahr 2017.
  • Die Datenbank enthielt 15 schlecht geschützte (SHA1-128bit) Mitarbeiter-E-Mails, -Namen und -Passwörter.
  • Der mit „Benutzer“ gekennzeichnete Datenbankindex enthielt mehr als 152.000 Einträge: Namen, E-Mails, Links zu Social-Media-Profilen und Passwörter, von denen einige mit einem sehr schwachen MD5-Algorithmus gehasht wurden.
  • Der Index „Bestellungen“ speichert die Namen, physischen Adressen, Zahlungsarten und Telefonnummern von Unternehmen und Einzelpersonen. Es enthielt auch die Steueridentifikationsnummern der Organisationen.

Gefährliches Leck

Da ein beträchtlicher Teil der gespeicherten Passwörter mit schwachen Passwort-Hashing-Funktionen (MD5 oder SHA1) gehasht wurden, konnten sie leicht geknackt und für Data-Stuffing-Angriffe verwendet werden.

SHA1 (Secure Hashing Algorithm 1) ist seit 2004 gebrochen und kann von Kriminellen zu relativ geringen Kosten schnell geknackt werden. MD5 ist ein noch schwächerer Algorithmus, der angeblich erstmals 1996 kompromittiert wurde.

Darüber hinaus enthielt die Datenbank physische Adressen – kombiniert mit Namen, E-Mail-Adressen und Telefonnummern könnten diese Informationen für Identitätsdiebstahl oder Belästigung verwendet werden.

Die offene Instanz enthielt auch Informationen, die dem Unternehmen selbst schaden könnten. Zum Beispiel enthüllte der Hinweis „Admin“, dass bestimmte Mitarbeiter berechtigt waren, die Website der Harvard Business Review Turkey (hbrturkiye.com) zu ändern. E-Mail- und Mitarbeiter-Anmeldeinformationen können verwendet werden, um die Website ohne Bestätigung zu ändern oder auf zusätzliche mit dem Internet verbundene Ressourcen zuzugreifen.

In den falschen Händen könnte die Datenbank auch dem Lizenzgeber von Infomag – Harvard Business Publishing – schaden, da sie einige der identifizierenden Informationen enthielt, die zu hbr.org-Adressen gehören.

Die Ransomware

Am 19. September kehrten Cybernews-Forscher zurück, um zu überprüfen, ob die Datenbank noch geöffnet war, und erfuhren, dass sie von einem Ransomware-Angriff betroffen war, was bedeutet, dass die Kriminellen den Datensatz fanden, bevor sein Besitzer die Möglichkeit hatte, ihn zu schließen.

Crooks hinterließ eine Notiz, in der er ein Lösegeld in Bitcoin forderte und drohte, sich an die Behörden zu wenden, die das Unternehmen wegen möglicher Verstöße gegen die DSGVO mit einer Geldstrafe belegen könnten.

“Sie müssen 0,01 BTC bezahlen [wallet address] 48 Stunden, um es zurückzubekommen. Nach Ablauf von 48 Stunden werden wir alle Ihre Daten offenlegen und offenlegen. Wenn die Zahlung abgelehnt wird, werden wir uns an die Datenschutz-Grundverordnung (DSGVO) wenden und ihnen mitteilen, dass Sie Benutzerdaten in offener Form speichern und dass dies nicht sicher ist. Nach den Regeln des Gesetzes riskierst du eine hohe Geldstrafe oder eine Verhaftung und dein Base-Dump wird von unserem Server gelöscht! [sic]“, lesen wir in der Notiz.

Es gibt dem Opfer außerdem Anweisungen, wo und wie Bitcoin gekauft werden kann. Nach weiteren Untersuchungen entdeckte das Cybernews-Team, dass die in der Notiz erwähnte Wallet-Adresse neun Transaktionen hatte, von denen fünf offenbar von Opfern stammten, die 0,01 BTC überwiesen – genau die Lösegeldsumme, die von den Gaunern gefordert wurde.

Die letzte Transaktion mit der Brieftasche der Kriminellen wurde jedoch am 31. Juli getätigt, was darauf hindeutet, dass Infomag ihren Forderungen nicht nachgegeben hat.

Wir haben Infomag und Harvard Business Publishing kontaktiert, um weitere Einzelheiten zu dem Vorfall zu erhalten. Harvard Business Publishing reagierte umgehend und wies darauf hin, dass Infomag zwar nur Lizenznehmer sei, diese Angelegenheit aber ernst nehme und das türkische Unternehmen über die von Cybernews bereitgestellten Informationen informiert habe. Wir haben Infomag auch mehrmals kontaktiert, aber sie haben noch nicht geantwortet.

Die richtige Verschlüsselung ist der Schlüssel

Die Plattform zur Überwachung von Datenschutzverletzungen Breachsense hat über 25 Milliarden durchgesickerte Zugangsdaten indiziert. Sein Gründer Josh Amishav-Zlatin sagt, wenn Datenlecks Schlagzeilen machen, handelt es sich fast entweder um eine falsch konfigurierte ElasticSearch-, MongoDB- oder S3-Instanz.

„Das zugrunde liegende Problem ist oft eine Kombination aus mangelnder Transparenz der Unternehmensressourcen und einer einfachen Fehlkonfiguration auf dem Server selbst“, sagte er gegenüber Cybernews.

Es kann sich auch um eine einfache Fehlkonfiguration handeln, bei der beispielsweise ein IT-Spezialist versehentlich einen Port zur Außenwelt geöffnet und unbeabsichtigt Daten preisgegeben hat.

„Der zweite häufige Fehler ist mit Anwendungsschwachstellen in der Umgebung eines Kunden verbunden, die die Back-End-Datenbank offenlegen und Hackern den Zugriff ermöglichen können“, sagte Tom Neclerio, Vice President of Professional Services beim Cybersicherheitsunternehmen SilverSky bei Cybernews.

Sensible Daten können immer sicher bleiben, auch wenn sie versehentlich offengelegt werden. Unternehmen verschlüsseln Daten jedoch nicht immer richtig, indem sie beispielsweise veraltete Hash-Algorithmen zum Schutz von Passwörtern verwenden.

„Sensible Daten preiszugeben oder sie in die falschen Hände geraten zu lassen, kann einen Kaskadeneffekt haben, der zu behördlichen und Compliance-Bußgeldern, potenziellen Gerichtsverfahren und Bußgeldern, Reputationsschäden, einschließlich Verlust des Kundenvertrauens, und finanziellen Auswirkungen, einschließlich Geschäftsverlusten, führen kann.“ sagte Neclerio. .

Das Attack Surface Management-Team von Group-IB identifizierte 308.000 Datenbanken, die im Jahr 2021 im offenen Web offengelegt wurden.

Originalartikel veröffentlicht auf CyberNews: https://cybernews.com/security/hbp-turkey-hit-by-ransomware/

Über die Autorin: Jurgita Lapienytė, stellvertretende Herausgeberin von CyberNews

Folge mir auf Twitter: @Sicherheitsfragen und Facebook

Pierluigi Paganini

(Sicherheitsfälle Hacken, Harvard Business Publishing)






Blog In 2021 joker0o xyz

Comment here