» News
Forscher entdeckt ungeschützte Datenbank mit über 763 Millionen E-Mail-Adressen
Allgemein Eine riesige E-Mail-Adresssammlung lag öffentlich zugänglich auf dem Server eines "E-Mail-Verifizierers" – glücklicherweise ohne Passwörter.

Ein Mitarbeiter der Sicherheitsfirma Security Discovery hat auf dem Server eines "E-Mail-Verifizierers" namens verifications.io eine rund 150 GByte große, öffentlich zugängliche MongoDB-Datenbank mit E-Mail-Adressen gefunden. Deren Gesamtzahl (ohne Dopplungen) beläuft sich laut dem Prüfdienst Have I been Pwned auf insgesamt 763.117.241.

Aus dem Blogeintrag von Bob Diachenko, dem Sicherheitsforscher von Security Discovery, geht hervor, dass den E-Mail-Adressen in der Datenbank teilweise auch weitere private Daten zugeordnet waren – darunter Vor- und Nachnamen, Geschlecht, Geburtsdaten, Telefonnummern und Wohnorte. Kreditkarten- oder ähnliche Bezahldaten sollen nicht enthalten gewesen sein. Anders als in früheren Datenlecks enthält dieses wohl auch keine Passwörter oder Passwort-Hashes, mit denen Angreifer die E-Mail-Accounts unmittelbar kompromittieren könnten.
Zweitgrößte E-Mail-Adresssammlung nach Collection #1

Prüfdienstbetreiber Troy Hunt ließ gegenüber der IT-News-Webseite Wired verlauten, dass 35 Prozent der E-Mail-Adressen nicht in früheren an Have I Been Pwned übermittelten Leaks enthalten waren. Im Hinblick auf die Anzahl der E-Mail-Adressen handele es sich um die zweitgrößte Datensammlung, die je zu Have I been Pwned hinzugefügt worden sei. Platz 1 belegt nach wie vor die Collection 1 mit rund 773 Millionen E-Mail-Adressen, denen allerdings auch Passwörter zugeordnet waren.

Laut Wired sagte Hunt, dass das Datenleck auf verifications.io sogar einige seiner eigenen Daten enthalte. Wer überprüfen möchte, ob seine E-Mail-Adresse Teil des Datenlecks ist, kann dies bei Have I Been Pwned tun.
Fragwürdiger Verifizierungs-Service

Im Zuge seiner Entdeckung hat sich Diachenko eingehender mit verifications.io befasst. Im Zuge einer Datenbank-Analyse will er gemeinsam mit einem Kollegen herausgefunden haben, dass der Dienstleister "auf Bestellung" und unter Verwendung von Listen, die er von Kunden erhielt, massenhaft (Spam-)E-Mails verschickte, um die Existenz von E-Mail-Adressen zu validieren.

Verifications.io bewarb diesen Service laut Diachenko als "Enterprise Email Validation". Der Forscher hält allerdings ein anderes Einsatzszenario für plausibler. Kriminelle Hacker, die ein bestimmtes Unternehmen angreifen wollen, könnten verifications.io genutzt haben, um (nicht-)existente Firmen-Mail-Adressen aus einer Liste herauszufiltern, ohne selbst Verdacht zu erregen. Die resultierende Liste mit validen Adressen bilde dann einen besseren Ausgangspunkt für gezielte Phishing-Kampagnen (Spear Phishing) oder Brute-Force-Angriffe.
Nebulöser Firmen-Background

Diachenko setzte verifications.io über das Datenleck in Kenntnis – und erhielt überraschenderweise tatsächlich eine Antwort. Es handele sich bei dem Datenleck nicht um "Kundendaten", sondern um eine "Unternehmensdatenbank" mit Informationen, die ohnehin öffentlich zugänglich seien. Dennoch war die Datenbank noch am selben Tag plötzlich offline – wie mittlerweile die gesamte Website.

Von Wired auf das Statement des E-Mail-Verifizierers angesprochen, sagte Troy Hunt, er habe nie von der Firma gehört und könne sich mit Bestimmtheit nicht daran erinnern, ihr seine Zustimmung zur Verwendung seiner Daten gegeben zu haben. Der Vorfall sei nur ein weiteres Beispiel dafür, wie jemand an seine Daten und die Hunderter Millionen anderer Personen gekommen sei, und bei dem er absolut keine Ahnung habe, wie dies geschehen sei. (ovw)
Autor: Predatorfighter | Mittwoch 13. 03. 2019 0 Kommentare


EU-Richtlinie: Leitungswasser im Restaurant soll kostenlos werden!
Allgemein Die geplante Trinkwasserrichtlinie der Europäischen Union behandelt ein wichtiges Thema: Sie soll sicherstellen, dass alle Bürger Zugang zu sauberem Trinkwasser haben. In Deutschland ist dies bereits zum größten Teil gewährleistet, sodass die Auswirkungen der Richtlinie hierzulande nicht all zu groß sein dürften. Ein Punkt allerdings dürfte viele Restaurantbesucher freuen. Denn zukünftig sollen die Betreiber von Restaurants verpflichtet werden, den Kunden kostenloses Leitungswasser auf den Tisch zu stellen. Das Europäische Parlament hat der Neuregelung bereits zugestimmt. Auch die deutsche Bundesregierung hat signalisiert, zustimmen zu wollen. Läuft alles nach Plan, dürfte die Trinkwasserrichtlinie in der zweiten Jahreshälfte endgültig verabschiedet werden. Für viele Restaurantbesitzer würde dies eine Umstellung bedeuten.

Der deutsche Gaststättenverband kritisiert die geplante Regelung

Denn bisher ist der Verkauf von Wasser eine gute Einnahmequelle. Die Kosten sind in der Regel recht gering und es wird auch keine besondere Expertise benötigt. Dementsprechend hoch sind die Gewinnmargen. So verkaufte der Schauspieler Til Schweiger in seinem Restaurant gefiltertes Leitungswasser für 4,20 Euro. Seine Argumentation: Das Wasser stelle eine wichtige Einnahmequelle dar und trage dazu bei, den Betrieb zu finanzieren. Der deutsche Hotel- und Gaststättenverband Dehoga schlägt bei seiner Kritik an der geplanten Richtlinie in die selbe Kerbe: Die Preisgestaltung sei Sache des Unternehmers. Tatsächlich wird kein Kunde gezwungen, Wasser zu bestellen. Außerdem ist es jederzeit möglich, in ein anderes Restaurant mit niedrigeren Wasserpreisen zu gehen. Es ist also durchaus zweifelhaft, ob die Bereitstellung von Leitungswasser tatsächlich durch die Europäische Union geregelt werden muss.

Umsatzausfälle können vermieden werden

Ein Blick ins Ausland zeigt allerdings, dass die Umsätze der Restaurants durch kostenloses Leitungswasser nicht zwingend sinken müssen. So ist das kostenfreie stille Wasser beispielsweise in Österreich in vielen Gaststätten bereits üblich. Hier haben die Betreiber die Erfahrung gemacht, dass die Kunden das gesparte Geld dann in andere Speisen und Getränke investieren – etwa einen hochpreisigen Wein. Hier wiederum sind höhere Preise gerechtfertigt. Denn erstens sind die Anschaffungskosten des Weins höher als bei Leitungswasser. Außerdem ist für die Weinauswahl auch fachliche Kompetenz notwendig. In Frankreich wiederum gibt es bereits seit einiger Zeit die Pflicht, kostenloses Leitungswasser anzubieten. Auch hier haben es die meisten Restaurants geschafft, dennoch ein auskömmliches Geschäft zu betreiben.
Autor: Predatorfighter | Samstag 09. 03. 2019 0 Kommentare


Millionenschweres Geschäft: Wie viel Geld gemeldete Sicherheitslücken einbringen
Allgemein Die Bug-Bounty-Plattform HackerOne gibt Einblicke, wie viel Geld sie an Sicherheitsforscher ausschüttet.

Mit dem Auffinden und Melden von Sicherheitslücken kann man offensichtlich richtig viel Geld verdienen: Wie die Bug-Bounty-Plattform HackerOne vermeldet, hat nun der erste Sicherheitsforscher Prämien in der Höhe von mehr als einer Million US-Dollar eingestrichen.

Santiago Lopez ist 19 Jahre alt und beschäftigt sich eigenen Angaben zufolge seit 2015 mit dem Umgehen von IT-Sicherheitsvorkehrungen. Für seinen ersten gemeldeten Bug gab es 50 US-Dollar – seine größte Belohnung beträgt bis dato 9000 US-Dollar. Nun hat er die Million vollgemacht und gehört somit zu den erfolgreichsten Sicherheitsforscher, der Lücken in beispielsweise Twitter, Verizon und in Services der US-Regierung an HackerOne übermittelt hat. Das geht aus dem jährlichen Report der Bug-Bounty-Plattform hervor.

Die Bug-Bounty-Plattform gibt es seit 2012. Gegründet wurde HackerOne von ehemaligen Facebook-, Google- und Microsoft-Mitarbeitern. Die Plattform übernimmt für Unternehmen wie Nintendo, Spotify und Wordpress die Koordination von extern gemeldeten Schwachstellen.
Beeindruckende Zahlen

Insgesamt arbeitet HackerOne mit über 300.000 Sicherheitsforschern zusammen, die mittlerweile mehr als 100.000 valide Sicherheitslücken gemeldet haben. Bislang haben sie eigenen Angaben zufolge Prämien von mehr als 42 Millionen US-Dollar ausgeschüttet – allein 2018 waren es 19 Millionen US-Dollar. Der Großteil der Sicherheitsforscher stammt aus Indien und den USA. Aber auch nach Deutschland sollen große Summen als Prämie geflossen sein.

HackerOne zufolge haben die Top-Sicherheitsforscher ein bis zu 40 mal höheres Jahreseinkommen als ein Softwareentwickler in dem jeweiligen Land. In Deutschland beträgt der Faktor drei. Über 80 Prozent der Bug-Jäger geben an, sich das IT-Sicherheitswissen selbst angeeignet zu haben. Der Großteil ist zwischen 18 und 24 Jahre alt.

Knapp 36 Prozent der bei HackerOne angemeldeten Sicherheitsforscher geben an, pro Woche rund eine bis zehn Stunden in das Finden von Lücken zu investieren. 72 Prozent setzen sich dem Report zufolge seit ein bis fünf Jahren mit Hacking auseinander. Rund 14 Prozent geben als Motivation an, Lücken für mehr Geld zu finden. Ebenfalls 14 Prozent tun es eigenen Angaben dafür, um effizientere Techniken zu erlernen.
Für noch mehr Geld in den Untergrund

Sicherheitsforscher könnten noch mehr Geld machen, wenn sie ihren Code zum Ausnutzen von Schwachstellen an Exploit-Händler wie Zerodium verkaufen würden, ohne die Lücke vorher an die Software-Verantwortlichen zu melden. Derartige Zero-Day-Exploits können wie im Fall von Apples iOS 10 bis zu 1,5 Millionen US-Dollar einbringen.
Autor: Predatorfighter | Samstag 09. 03. 2019 0 Kommentare




[ 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 ] »