tom's networking guide
 
Anzeige
Devolo setzt spanische Heimnetzwerke unter Strom >
< F-Secure stellt Passwörter auf den Prüfstand
23.05.14 09:38 Alter: 6 Jahre
Kategorie: Unternehmens-News, Heim-Anwender, Anti-Phishing, Anti-Virus, Hacking, Verschlüsselung, Top-News
Von: Maurice Hempel

Ebay wurde Opfer von Datendieben

Hacker konnten über Monate unbemerkt auf eine interne Datenbank zugreifen, die sensible Kundendaten beinhaltet.


Außenaufnahme vom Firmensitz von Ebay Deutschland in Dreilinden, Brandenburg bei Berlin.

Außenaufnahme vom Firmensitz von Ebay Deutschland in Dreilinden, Brandenburg bei Berlin.

München – Nach einem Hacking-Angriff auf das Internet-Auktionshaus Ebay, hat das Unternehmen seine Nutzer dazu aufgerufen, ihre persönlichen Passwörter zu ändern. Die Cyber-Attacke auf eine Datenbank mit verschlüsselten Passwörtern und anderen Informationen über Ebay-Kunden erfolgte laut Ebay über mehrere kompromittierte Mitarbeiter-Login-Daten. Bisher gibt es keine Anzeichen dafür, dass der Angriff zu unautorisierten Aktivitäten für Ebay-Nutzer geführt hat. Ebenfalls gibt es bislang keine Anzeichen, dass die Hacker Bank- und Kreditkarteninformationen der Kunden auslesen konnten.

Der Angriff auf die Datenbank erfolgte bereits zwischen Ende Februar und Anfang März 2014, wurde jedoch erst vor zwei Wochen von Mitarbeitern des Unternehmens entdeckt. Die Täter konnten auf Namen, verschlüsselte Passwörter, E-Mail-Adressen, Post-Adressen, Telefonnummern und Geburtsdaten der Ebay-Nutzer zugreifen. Zahlungsdaten und PayPal-Informationen seien hingegen nicht gefährdet, da diese laut Ebay verschlüsselt auf anderen Servern hinterlegt sind. Aktuell bereitet das Unternehmen eine Prozess vor, der die Passwörter selbstständig zurücksetzt. Bis dahin rät Ebay allen 145 Millionen Kunden dazu, ihre Login-Daten zu ändern.

Falls die Passwörter für den Ebay-Zugang gleichzeitig für andere Online-Konten als Zugangsdaten dienen, empfiehlt das Unternehmen diese ebenfalls zu ändern. Die meisten Angreifer arbeiten mit automatisierten Tools, die die gestohlenen Namen und Passwörter bei anderen Online-Diensten eingeben, um diese dann ebenfalls kompromittieren zu können. Nutzer sollten Passwörter immer separat für jedes Benutzerkonto einzeln wählen. Doch nicht nur die Wahl eines sicheren, komplexen Passworts ist für den Schutz vor Angriffen entscheidend, sondern ebenso das sichere, verschlüsselte Speichern der Kennwörter seitens der Dienstanbieter.

Ebay setzt auf gehashte Passwörter, die mit einem festen Algorithmus zur Authentifizierung auf der Webseite hinterlegt sind. Bei dieser Funktion handelt es sich um eine Ein-Weg-Funktion. Aus den (Pass-)Wörtern lässt sich ein bestimmter Hashwert errechnen, doch auf das Wort selbst lässt sich aus einem Hashwert nicht rückschließen. Meldet sich der Nutzer auf dem Konto an, rechnet das System den Hash jedes mal erneut aus und vergleicht ihn mit dem hinterlegtem (Hash-)Wert. Der Zugriff erfolgt nur, wenn beide Werte übereinstimmen. Um das Risiko eines Angriffs zu verringern, wird das Passwort vor dem Verschlüsseln zusätzlich "gesalzen". Das bedeutet, dass zum Benutzer-Passwort ein zufällig generierter Zahlenwert, der sogenannte Salt, hinzugefügt wird.

Die Kombination aus Salt und Hashwert erschwert es Angreifern mit vergleichsweise einfachen Methoden wie der "Wörterbuch-Attacke" gespeicherte Passwörter auszulesen. Bei Wörterbuch-Attacken verwenden Angreifer Wörter-Listen, die mit demselben Algorithmus wie die zu knackenden Passwörter verschlüsselt sind. Deren Hashwert wird mit dem gespeicherten Werten verglichen - stimmen die Werte überein, ist ein Rückschluss auf das verwendete Passwort möglich.

Im Zusammenhang mit dem Datenbank-Angriff erwarten Experten zudem ein Anstieg an Phishing-Attacken. Benutzer sollten zum Wechsel der Kennwörter immer den direkten Weg über den Webbrowser gehen und keine Daten über Links in E-Mails oder gar über das Telefon ändern. Cyber-Kriminelle können die Hysterie der Datenbank-Attacke leicht für ihre Zwecke nutzen. Immer wieder kommt es vor, dass Angreifer nach einem solchen Aufruf Phishing-Mails mit einem Aufruf zur Passwortänderung nutzen, um persönliche Daten auszulesen. Durch die gefälschten Links in den vermeintlichen E-Mails des Unternehmens wird der Benutzer an Fake-Webseiten weitergeleitet. Gibt er dort die Benutzerdaten (Name und Passwort) erneut ein, um sie zu ändern, hat er dem Angreifer die Daten quasi frei Haus geliefert.

Sicherheit am Point of Sale
Außerhalb der Netzwelt kommt es nicht weniger oft zu illegalen Datenbeschaffungen. Der "Target-Hack" ist das beste Beispiel, wie Daten-Diebstahl selbst im Einzelhandel im großen Stil funktionieren kann. Im Target-Fall konnten Cyber-Kriminelle mehr als 100 Millionen Kundendaten des US-Discounters Target durch das Auslesen der Daten auf den Kreditkarten stehlen. Ein spezieller Trojaner (Posram) speicherte die Informationen vom Magnetstreifen der Bank- und Kreditkarten noch bevor diese verschlüsselt wurden.

Aus diesem Anlass nennt der Sicherheits-Experte Websense fünf Maßnahmen, mit denen Einzelhändler derartige Angriffe abwehren und für einen sicheren Point of Sale (POS) sorgen können:

  • Data-Loss-Prevention-Lösungen (DLP) nutzen
    Mit Hilfe solcher Systeme lässt sich der Abfluss hochsensibler Informationen wie Kredit- oder Bankdaten, Sozialversicherungsnummern etc. gezielt verhindern. Bei der Implementierung einer solchen Lösung sollte man sich zunächst auf die allerwichtigsten Assets konzentrieren.
  • Netzwerk-Kommunikation analysieren
    Einzelhändler sollten ihren internen Datenverkehr ebenso grundlegend analysieren wie den Datenverkehr mit Niederlassungen und externen Verbindungen. Auf dieser Basis lassen sich auffällige Vorgänge in der ein- und ausgehenden Kommunikation identifizieren.
  • Nur zugelassene Anwendungen erlauben
    Einzelhändler müssen sicherstellen, dass nur autorisierte Applikationen innerhalb ihres POS-Ökosystems laufen.
  • E3-Verschlüsselung umsetzen
    Eine End-to-End-Verschlüsselung (E3) gewährleistet, dass bereits am "Point of Swipe" – also im Moment des Auslesens von Kredit- oder Bankkarten – die Daten per Hardwareverschlüsselung geschützt werden. Diese Maßnahme kann teuer sein, sie ist dafür aber äußerst effektiv.
  • An Gefahren von innen denken
    Die Cyber-Kriminellen müssen für ihre Angriffe die Betriebssystem-Plattformen ihrer Opfer kennen und benötigen weitere interne Informationen. Deshalb sollten Einzelhändler über Lösungen nachdenken, die potenzielle Insider-Bedrohungen identifizieren. Oft sind es Fehler und fahrlässiges Verhalten von Mitarbeitern, die Datendiebstähle überhaupt erst ermöglichen.

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige