• 200.000 Kundenkonten von North Face wurden gestohlen

    VonJuliane Heinen

    Im August 2022 kompromittierten Angreifer rund 200.000 Kundenkonten auf der Website von The North Face — der Outdoor-Marke des VF-Corporation-Konzerns. Der Angriff lief über einen Monat unentdeckt und nutzte die Credential-Stuffing-Methode: automatisiertes Testen von Zugangsdaten aus früheren Datenlecks anderer Dienste. The North Face meldete den Vorfall aufgrund gesetzlicher Meldepflichten und informierte betroffene Nutzer.

    Credential Stuffing: Alter Angriff, neue Dimension

    Credential Stuffing ist keine neue Technik. Angreifer nutzen dabei Kombinationen aus E-Mail-Adressen und Passwörtern, die bei früheren Datenlecks anderer Dienste erbeutet wurden. Da viele Nutzer dieselben Zugangsdaten für mehrere Dienste verwenden, funktioniert ein erheblicher Prozentsatz der Versuche.

    Die Werkzeuge dafür sind frei verfügbar. Tools wie OpenBullet, SentryMBA oder spezialisierte Bots testen automatisiert Tausende Credentials pro Minute gegen Login-Seiten. Aktuelle Proxy-Netzwerke verteilen die Anfragen über tausende IP-Adressen, um Rate-Limiting und IP-basierte Sperren zu umgehen.

    Laut dem Verizon Data Breach Investigations Report 2023 sind gestohlene oder kompromittierte Zugangsdaten der häufigste initiale Angriffsvektor — beteiligt an über 80 Prozent der Webanwendungs-Angriffe.

    Warum der Angriff einen Monat unbemerkt blieb

    Dass Angreifer einen Brute-Force-artigen Angriff über vier Wochen ungehindert durchführen konnten, deutet auf grundlegende Defizite in der Angriffserkennung hin:

    • Fehlendes Login-Anomalie-Monitoring: Ungewöhnliche Anmeldeversuche — massenhaft, von wechselnden IPs, zu ungewöhnlichen Zeiten — wurden offenbar nicht als verdächtig erkannt
    • Kein Rate-Limiting oder Account-Lockout: Ohne Begrenzung der Login-Versuche pro Account oder IP können Angreifer beliebig viele Kombinationen testen
    • Fehlende Bot-Erkennung: Moderne Bot-Detection-Systeme erkennen automatisierte Login-Versuche anhand von Verhaltensmustern, Browser-Fingerprints und Mausbewegungen

    Welche Daten betroffen waren

    Bei erfolgreichem Login erhielten die Angreifer Zugriff auf die in den Kundenkonten hinterlegten Informationen — darunter potenziell Name, Adresse, Kaufhistorie und gespeicherte Zahlungsinformationen. VF Corporation erklärte, dass vollständige Kreditkartennummern nicht exponiert gewesen seien, da diese nicht im Klartext gespeichert würden.

    Die eigentliche Gefahr geht jedoch über The North Face hinaus: Angreifer validieren durch erfolgreiche Logins, dass bestimmte E-Mail-Passwort-Kombinationen aktiv genutzt werden. Diese verifizierten Credentials werden anschließend gegen höherwertige Ziele eingesetzt — Banking-Portale, E-Mail-Konten, Unternehmens-VPNs.

    Handlungsempfehlungen

    Für Endnutzer:

    • Passwort-Manager verwenden und für jeden Dienst ein einzigartiges Passwort generieren
    • MFA aktivieren, wo immer verfügbar
    • Have I Been Pwned prüfen: Unter haveibeenpwned.com lässt sich überprüfen, ob die eigene E-Mail-Adresse in bekannten Datenlecks auftaucht

    Für Unternehmen mit Webportalen:

    • Credential-Stuffing-Detection implementieren: Login-Versuche auf Anomalien überwachen — Velocity Checks, Device Fingerprinting, geografische Plausibilität
    • Rate-Limiting und progressive Lockouts nach fehlgeschlagenen Versuchen
    • Kompromittierte Credentials proaktiv prüfen: Passwörter gegen bekannte Breach-Datenbanken abgleichen
    • SIEM-Integration: Login-Events an ein zentrales Monitoring weiterleiten

  • Mehr als 22 TB personenbezogener Daten von Schülern könnten online sein

    VonJuliane Heinen

    Sicherheitsforscher von vpnMentor entdeckten im September 2022 zwei fehlkonfigurierte AWS S3-Buckets des US-amerikanischen Bildungsverlags McGraw Hill. Die Buckets enthielten über 22 Terabyte an Daten — darunter mehr als 117 Millionen Datensätze mit akademischen Verläufen und personenbezogenen Daten von Schülern und Studierenden, vorwiegend aus den USA und Kanada.

    Was exponiert war

    McGraw Hill ist einer der größten Bildungsverlage weltweit und bietet digitale Lernplattformen, E-Books und Bewertungssysteme an, die von tausenden Schulen und Universitäten genutzt werden. Die exponierten AWS-Buckets enthielten:

    • Personenbezogene Daten: Namen, E-Mail-Adressen, Postanschriften von Schülern und Studierenden
    • Akademische Daten: Noten, Kursverläufe, Bewertungsergebnisse, Abschlussarbeiten
    • Institutionsdaten: Informationen über Schulen und Universitäten, die McGraw-Hill-Produkte nutzen
    • Zugangsdaten: Teilweise Anmeldeinformationen für die Lernplattformen

    Besonders brisant: Die Daten betrafen überwiegend Minderjährige. In den USA unterliegen Schülerdaten dem FERPA (Family Educational Rights and Privacy Act), der strenge Vorgaben für den Schutz akademischer Aufzeichnungen macht.

    Ursache: Fehlkonfigurierte AWS S3-Buckets

    Die Ursache war keine Hackerattacke, sondern eine Cloud-Fehlkonfiguration. Die S3-Buckets waren öffentlich zugänglich konfiguriert — ein Fehler, der trotz jahrelanger Warnungen von AWS und der Security-Community immer wieder vorkommt.

    AWS S3 ist standardmäßig privat konfiguriert. Öffentliche Zugriffe müssen explizit aktiviert werden. Dass zwei Buckets mit 22 Terabyte sensibler Daten öffentlich erreichbar waren, deutet auf grundlegende Defizite im Cloud Security Posture Management (CSPM) hin — fehlende automatisierte Überprüfung der Bucket-Konfigurationen, keine Alerts bei öffentlichen Zugriffen, keine regelmäßigen Security-Audits der Cloud-Infrastruktur.

    Cloud-Fehlkonfigurationen: Ein systemisches Problem

    Der McGraw-Hill-Vorfall ist keine Ausnahme. Laut dem IBM Cost of a Data Breach Report 2023 sind Cloud-Fehlkonfigurationen der dritthäufigste Angriffsvektor — verantwortlich für 11 Prozent aller Datenschutzverletzungen. Gartner prognostizierte bereits 2019, dass bis 2025 über 99 Prozent der Cloud-Security-Vorfälle auf Kundenfehler zurückzuführen sein würden.

    Bekannte Fälle öffentlich zugänglicher S3-Buckets umfassen Unternehmen wie Twitch, Facebook, Verizon und verschiedene US-Regierungsbehörden. Das Muster ist immer dasselbe: sensible Daten in Cloud-Storage, das versehentlich oder durch mangelnde Governance öffentlich konfiguriert wurde.

    Handlungsempfehlungen

    • Cloud Security Posture Management (CSPM) implementieren: Automatisierte Tools, die Cloud-Konfigurationen kontinuierlich gegen Security-Baselines prüfen und bei Abweichungen alarmieren
    • S3 Block Public Access auf Account-Ebene aktivieren: AWS bietet die Möglichkeit, öffentliche Zugriffe auf S3 pauschal für den gesamten Account zu blockieren — unabhängig von Bucket-Einstellungen
    • Datenklassifizierung: Sensible Daten — insbesondere personenbezogene Daten von Minderjährigen — müssen als solche klassifiziert und mit entsprechenden Schutzmaßnahmen versehen werden
    • Regelmäßige Cloud-Audits: Automatisierte CSPM-Tools ergänzen, nicht ersetzen regelmäßige manuelle Reviews der Cloud-Architektur durch Security-Experten
    • Lieferanten-Sicherheit prüfen: Schulen und Universitäten, die Cloud-basierte Bildungsplattformen einsetzen, sollten die Datenschutzpraktiken ihrer Anbieter aktiv hinterfragen — nicht nur die Datenschutzerklärung lesen

  • Lufthansa-Chef wird Opfer von Lufthansa Sicherheitslücke

    VonJ. Benjamin Espagné

    Im September 2022 wurde bekannt, dass der QR-Code der Bordkarte von Lufthansa-CEO Carsten Spohr ausgelesen und die darin enthaltenen persönlichen Daten extrahiert wurden. Der Vorfall offenbart ein grundsätzliches Problem: Lufthansa speichert in den QR-Codes ihrer Bordkarten nicht nur Fluginformationen, sondern auch Servicekartennummern, E-Mail-Adressen und Mobiltelefonnummern — und das lediglich codiert, nicht verschlüsselt.

    Was passiert ist

    Laut einem Bericht von DER SPIEGEL vom 23. September 2022 fotografierten Unbekannte die Bordkarte des Vorstandsvorsitzenden und lasen den QR-Code aus. Die darin enthaltenen Daten waren nicht kryptografisch geschützt, sondern lediglich im standardisierten BCBP-Format (Bar Coded Boarding Pass) codiert — ein Format, das mit jedem handelsüblichen QR-Code-Scanner lesbar ist.

    Die Ironie: Lufthansa selbst empfiehlt Passagieren, ihre Bordkarte „wie Bargeld” zu behandeln. Der eigene CEO hielt sich offenbar nicht daran.

    Das technische Problem: Codierung ist keine Verschlüsselung

    Der Kern des Problems liegt in der Verwechslung von Codierung und Verschlüsselung — ein Fehler, der in der Praxis erstaunlich häufig vorkommt:

    • Codierung (z.B. Base64, BCBP) wandelt Daten in ein anderes Format um, das von jedem mit dem passenden Decoder gelesen werden kann. Es bietet keinerlei Schutz gegen unbefugten Zugriff
    • Verschlüsselung macht Daten ohne den passenden Schlüssel unlesbar. Selbst wenn jemand den QR-Code scannt, bleiben die Daten geschützt

    Der BCBP-Standard der IATA, der den Inhalt von Bordkarten-Barcodes definiert, sieht keine Verschlüsselung vor. Das bedeutet: Jede Bordkarte — nicht nur die von Lufthansa — enthält potenziell sensible Daten im Klartext. Wer eine weggeworfene Bordkarte oder ein Foto davon in sozialen Medien findet, kann diese Daten extrahieren.

    Welche Daten gefährdet sind

    Je nach Airline und Buchungssystem können Bordkarten-QR-Codes folgende Informationen enthalten:

    • Vollständiger Name des Passagiers
    • Buchungscode (PNR) — ermöglicht Zugriff auf die gesamte Buchung
    • Vielfliegernummer und Statuslevel
    • E-Mail-Adresse und Telefonnummer
    • Sitzplatz, Flugroute und Reisedaten

    Mit dem Buchungscode allein lassen sich bei vielen Airlines Buchungen einsehen, ändern oder stornieren. In Kombination mit Name und Vielfliegernummer öffnen sich weitere Angriffsvektoren — von gezieltem Social Engineering bis zum Account-Takeover des Vielfliegerprogramms.

    Ein Problem weit über Lufthansa hinaus

    Der Fall betrifft nicht nur Lufthansa. Der BCBP-Standard wird von praktisch allen IATA-Mitgliedsairlines weltweit genutzt. Sicherheitsforscher wie Michal Špaček und Karsten Nohl weisen seit Jahren darauf hin, dass Bordkarten-Barcodes ein unterschätztes Datenschutzrisiko darstellen. Nohl demonstrierte bereits 2016 auf dem 33C3, wie sich aus Boarding-Pass-Barcodes vollständige Reiseprofile rekonstruieren lassen.

    Handlungsempfehlungen

    • Bordkarten nicht fotografieren oder in sozialen Medien teilen — auch nicht „zum Angeben”. Der QR-Code enthält mehr Daten, als auf der Karte gedruckt steht
    • Digitale Bordkarten bevorzugen und nach der Reise aus der Wallet-App entfernen
    • Papier-Bordkarten schreddern, nicht einfach in den Mülleimer werfen
    • Für Unternehmen: Prüfen Sie, ob Ihre eigenen optisch lesbaren Datenträger (QR-Codes, Barcodes auf Ausweisen, Zugangskarten) sensible Daten codiert statt verschlüsselt enthalten. Codierung bietet keinen Schutz

  • Datenbank mit 800 Millionen Gesichtern im Netz

    VonJ. Benjamin Espagné

    Eine Datenbank mit 800 Millionen Datensätzen — Fotos von Gesichtern und Nummernschildern — stand monatelang ungeschützt im Internet. Die Daten stammten von Überwachungskameras des chinesischen Herstellers Xinai Electronics und waren weder durch Passwörter noch durch sonstige Zugriffsbeschränkungen gesichert. Jeder, der die Adresse kannte, konnte die Daten über den Browser abrufen.

    Xinai Electronics: Zutrittskontrolle ohne Datenschutz

    Xinai Electronics betreibt ein weitreichendes Netz von Kameras in ganz China. Die Systeme bieten Zugangskontrollen für Personen und Fahrzeuge — an Arbeitsplätzen, Parkhäusern, Schulen und Baustellen. Laut Techcrunch nutzt das Unternehmen die Daten auch zur Anwesenheitsüberwachung von Mitarbeitern für Gehaltsabrechnungszwecke. Cloud-basierte Kennzeichenscanner ermöglichen Parkhausbetreibern die automatisierte Gebührenerhebung ohne Personal vor Ort.

    Auf der eigenen Webseite behauptete Xinai, die Daten seien „sicher auf Unternehmensservern” abgelegt. Die Realität sah anders aus.

    Ungeschützte Datenbank auf Alibaba-Server

    Der IT-Sicherheitsforscher Anurag Sen entdeckte die ungeschützte Datenbank auf einem von Alibaba gehosteten Server in China. Die Datenbank wuchs täglich und enthielt zum Zeitpunkt der Entdeckung mehrere hundert Millionen Datensätze mit vollständigen URLs zu Bilddateien auf Xinai-Domains. Weder die Datenbank noch die Bilddateien waren passwortgeschützt.

    Konkret enthielt die Datenbank:

    • Hochauflösende Gesichtsfotos — Bauarbeiter beim Betreten von Baustellen, Bürobesucher beim Einchecken
    • Personenbezogene Daten — Name, Alter, Geschlecht, Einwohner-ID-Nummern
    • Fahrzeugkennzeichen — erfasst durch Kameras in Parkhäusern, Einfahrten und Büroeingängen

    Erpresser waren schneller als der Hersteller

    Sen war nicht der Einzige, der die Datenbank fand. In einer undatierten Lösegeldforderung behauptete ein Erpresser, den Inhalt gestohlen zu haben, und forderte einige hundert Dollar in Kryptowährung für die Wiederherstellung. Die angegebene Blockchain-Adresse erhielt laut Techcrunch keine Zahlungen. Ob tatsächlich Daten entwendet oder gelöscht wurden, blieb unklar.

    Mitte August 2022 verschwand die Datenbank aus dem Netz — ob durch Xinai selbst oder den Hoster, ist nicht bekannt.

    Chinas Datenschutzgesetz: Theorie und Praxis

    Seit dem 1. November 2021 gilt in China das Personal Information Protection Law (PIPL) — das erste umfassende Datenschutzgesetz des Landes. Es sieht vor, dass Unternehmen vor der Erhebung personenbezogener Daten die Einwilligung der Betroffenen einholen müssen. Staatliche Stellen sind davon allerdings ausgenommen.

    Der Xinai-Vorfall reiht sich in eine Serie massiver Datenlecks in China ein. Im Juli 2022 wurde bekannt, dass die Shanghaier Polizei rund eine Milliarde Datensätze verloren hatte — einer der größten bekannten Datenabflüsse weltweit. Die Durchsetzung des Datenschutzgesetzes bleibt offensichtlich weit hinter dem Anspruch zurück.

    Einordnung: Was dieser Fall für europäische Unternehmen bedeutet

    Der Fall Xinai illustriert ein Problem, das nicht auf China beschränkt ist: Biometrische Daten in Cloud-Systemen ohne angemessene Zugriffskontrollen. Auch in Europa setzen Unternehmen zunehmend auf Gesichtserkennung für Zutrittskontrollen, Zeiterfassung und Besuchermanagement. Die DSGVO stellt biometrische Daten unter besonderen Schutz (Art. 9) — aber technischer Schutz muss der rechtlichen Einordnung folgen.

    Drei Lehren aus dem Xinai-Vorfall:

    • Cloud-Datenbanken mit biometrischen Daten brauchen Zugriffsbeschränkungen, Verschlüsselung und Monitoring — nicht nur ein Versprechen auf der Unternehmenswebseite
    • Drittanbieter-Risiko: Wer Zutrittskontrollen an externe Dienstleister auslagert, muss deren Datenhaltung prüfen — nicht nur deren Funktionalität
    • Datenminimierung: 800 Millionen Datensätze in einer einzigen, wachsenden Datenbank ohne Aufbewahrungsfrist ist ein Designfehler, kein Feature

Keine weiteren News.

Keine weiteren News.

Sicherheitslücken schließen. Risiken senken. Jetzt handeln!

Unsere Experten zeigen Ihnen live, wie wir Angriffe erkennen, stoppen und Ihr Unternehmen schützen.

Blog

Aktuelle Sicherheitsereignisse