Web-Sicherheit

August 23, 2011

Unbekannte Hackergruppe stiehlt 840.000 Kundendaten bei K&M – Elektronik

Filed under: Allgemein — sebastiankuebeck @ 14:54
Tags: , , , , , , ,

Die bisher unbekannte Hackergruppe oxxo berichtete Sonntag Mittag, dass sie 840.000 Kundendaten von der Homepage der K&M – Elektronik entwendet hätte. Offenbar wollen die Hacker diese Daten allerdings nicht veröffentlichen. Laut eigenen Angaben wollten die Hacker die betroffenen Unternehmen lediglich auf Schwachstellen in deren Webseiten aufmerksam machen, jedoch hätten die betroffenen Unternehmen entweder gar nicht reagiert oder mit rechtlichen Schritten gedroht. Also haben die Hacker beschlossen, jede Lücke zu veröffentlichen. Bei den Schwachstellen auf der Seite der K&M – Elektronik handelt es sich um eine SQL-Injection- und drei Cross-Site-Scripting-Schwachstellen.

Leider hört man in letzter Zeit immer öfter von frustrierten Leuten, die in guter Absicht Schwachstellen melden und dann ignoriert oder bedroht werden. Man sollte allerdings als Hacker nicht vergessen, dass die Leute, die sich in diesen Unternehmen mit solchen Meldungen befassen, in der Regel mit der Situation vollkommen überfordert sind. Es ist daher oft sinnvoller, diese Schwachstellen einem CERT in der nähe zu melden. Generell gilt jedoch, dass solche „Überprüfungen“ ohne Zustimmung des betroffenen Unternehmens illegal sind, auch dann, wenn man dem Unternehmen eigentlich helfen will.

Als betroffenes Unternehmen sollte man solche Meldungen auf jeden Fall ernst nehmen und dem Überbringer danken. Danach sollte man sich schleunigst an ein erfahrenes Sicherheitsunternehmen wenden und den Vorfall untersuchen lassen.
Man sollte dabei nicht vergessen, dass zahlreiche Hacker da draußen sind, die niemanden informieren sondern gleich großen Schaden anrichten. Den Einzelhändler TJX hat ein solcher Vorfall immerhin 256 Millionen Dollar gekostet.

1 Kommentar »

  1. > die Leute, die sich in diesen Unternehmen mit solchen Meldungen befassen, in der Regel mit der Situation vollkommen überfordert sind

    Dann stimmt etwas mit dem Unternehmen ganz gewaltig nicht und es sollte ihm besser aus Datenschutzgründen verboten werden mit Kundendaten zu hantieren. Unternehmen, die solche gut gemeinten Warnungen nicht ernst nehmen, gehen grob fahrlässig mit Kundendaten um. Das ist nach meiner Auffassung ein Straftatbestand! Ich bin selbst Kunde bei K&M und werde dort sicher nicht mehr online einkaufen.

    Ich habe bereits selbst erleben müssen, wie fahrlässig auch in großen Unternehmen mit Kundendaten umgegangen wird. Zum Beispiel wurde das Passwort, dass ich bei der Registration an einem Onlineshop zu Beginn selbst vergeben musste, mir anschließend unnötigerweise gänzlich unverschlüsselt per Email nochmal zur Bestätigung zugestellt. Als ich den Shopbetreiber daraufhin informierte, dass ich, der selbst Webanwendungen entwickelt, dieses Vorgehen für grob fahrlässig halte, da Email nicht verschlüsselt sei, erhielt ich nur eine pampige, völlig unqualifizierte Antwort zurück. Geändert wurde natürlich nichts. Dazu sei noch zu sagen, dass der Shop zu allem Überfluss auch noch das „Trusted Shop“-Siegel auf jeder Seite präsentiert. Auch nachdem ich die Betreiber dieses Siegels irgendwann informierte, passierte rein gar nichts: Der Onlineshop ist nach wie vor „Trusted“ und verschickt auch weiterhin ganz unverblümt die von Kunden selbst gewählten Passwörter unverschlüsselt per Email um die Welt.

    Offensichtlich wird das Thema Datenschutz in Deutschland also tatsächlich so gut wie nicht ernst genommen. In so einer Situation kann ich es absolut nachvollziehen, dass so mancher Blackhat ernsthaft sauer wird und Whitehats dazu übergehen solche Unternehmen öffentlich zu blamieren.

    Schaden anzurichten halte ich für keine Lösung. Aber eine öffentliche Bloßstellung so eines Verhaltens (am besten bei großen Unternehmen auch über das Fernsehen täglich in den Abend-Nachrichten) in so einem Fall ist ja wohl bitte das Mindeste, solange der Gesetzgeber es nicht ermöglicht unkompliziert und schnell gegen sich fahrlässig verhaltende Unternehmen vorzugehen, um Datenschutz ernsthaft durchzusetzen und die Daten der Verbraucher tatsächlich mal effektiv zu schützen. Aber Verfahren, die sich über Wochen oder Monate hinziehen, bis überhaupt vielleicht mal irgendwas passiert, sind ein Witz. Respekt an 0xx0, mal wieder Schande über Deutschland. Der Onlineshop eines sich derart grob fahrlässig verhaltenden Unternehmens gehört ohne Umwege auf der Stelle vom Netz genommen, bis ein ausführliches Sicherheits-Gutachten bestätigt, dass Kunden dem Unternehmen wieder Vertrauen schenken können.

    Ohne solche drastischen Maßnahmen wird sich Datenschutz in Deutschland nicht durchsetzen, davon bin ich mittlerweile leider überzeugt. Unternehmen handeln in der Regel nämlich erst dann, wenn es darum geht wirtschaftlichen Schaden abzuwenden, der wirklich weh tut. Für K&M wäre das Abschalten des Onlineshops und ein anschließendes (natürlich mit nicht zu wenig Kosten verbundenes) Sicherheits-Gutachten aufgrund eines solchen Verhaltens sicherlich ein wirtschaftlicher Schaden, nach dem bei K&M in Zukunft Datenschutz ernst genommen wird. Sicher hätte das dann auch Konsequenzen für den Mitarbeiter, der die Warnung nicht ernst genommen hat. Der ist schließlich gesetzlich verpflichtet solche Dinge an den Datenschutzbeauftragten weiterzureichen, der dann persönlich dafür haftet, wenn er seine Arbeit nicht macht. Ich hoffe jedenfalls mal, dass die Warnung von 0xx0 nicht bis zum Datenschutzbeauftragten durchgedrungen ist…

    Wirklich schade, dass die Reaktion von 0xx0 in Deutschland strafbar ist. Ich finde das ziemlich paradox. Deutschland sollte solche Gruppierungen lieber per Gesetz dazu verpflichten nach einem erfolgreichen Datenklau verantwortungsvoll mit den Daten umzugehen und den Fall an eine Behörde zu melden, die sich umgehend damit befasst – und gut ist. Keine Kriminalisierung, dafür ernst gemeinter Datenschutz, der von guten Seelen sogar unentgeltlich unterstützt wird. Wobei ich dann die Befürchtung hätte, dass Unternehmen genau solche guten Absichten ausnutzen frei nach dem Motto „Warum soll ich mir den Kopf zerbrechen und teure Entwickler anstellen, wenn irgendwelche Whitehats die Arbeit ganz umsonst für mich machen“.

    Kommentar von nd — August 24, 2011 @ 13:46 | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: