CDU, VW, K&M und seine Ei-Tea-Spezial-Experten

Mitgliederdaten der CDU geklaut” (heise.de)

Wie erst jetzt bekannt wurde, ist das Mitgliedernetz der CDU schon im August 2009 Opfer eines Angriffs geworden.
(…)
Der Hackerangriff 2009 sei zwar registriert worden, zum damaligen Zeitpunkt konnte aber kein Datenverlust festgestellt werden, erklärte ein CDU-Sprecher im Gespräch mit heise online.

“Chef, is noch alles da, der Hacker ist ohne Erfolg weitergezogen.”

Auch ich habe ab 2009 die CDU mehrfach auf verschiedene Sicherheitslücken hingewiesen, aber bisher habe ich nie eine Antwort bekommen. Wenn es mir wirklich wichtig wäre, dann hätte ich natürlich mehrfach zu jeder Lücke nachgehakt, aber bei den Konservativen, die die Asche weitertragen wollen und nicht das Feuer, mache ich da eine Ausnahme. Früher oder später werden auch sie die Lücken feststellen — auf die eine oder andere Art. :O)


Volkswagen anfällig für Angriffe” (golem.de)

VW sei nur schlecht gegen Attacken über das Internet gesichert. (…) in die Produktion eingreifen, (…) vertrauliche Unterlagen etwa über künftige Automodelle entwenden.
(…)
Bisher war VW noch keinen Angriffen über das Internet ausgesetzt.

“Chef, is noch alles da, wir hatten noch nie Besuch von einem Hacker.”

Was glauben diese Ei-Tea-Spezial-Expert? Nur weil Daten nicht gelöscht wurden oder ein Angriff nicht an die große Glocke gehängt wurde, gab es keine Angriffe?

Wie dämlich muss man sein, um in solchen Firmen einen gut bezahlten Job zu bekommen? Tja, ich werde wohl nie reich werden. :O)


Um hier nicht einen falschen Eindruck zu verbreiten, solche Experten werkeln nicht nur in Organisationen und Firmen, die nicht direkt mit dem Internet ihr Geld verdienen.

Neue Hacker-Gruppe stiehlt 840.000 Kundendaten bei K&M – Elektronik” (gulli.com)

Vor zwei Monaten…

Achtung! Phishing-Mails im Umlauf!” (kmelektronik.de)

Mittlerweile sind unsere Server wieder online und die entsprechende Sicherheitslücke wurde behoben. Unsere Recherchen haben bisher folgendes ergeben:

Am gestrigen Abend (21.06.2011) erhielten viele Kunden unseres Shops eine E-Mail mit dem Betreff „K&M Elektronik Gutschein“, die wie folgt aussah:

Ein Angreifer hatte sich damals Zugang zu E-Mail-Adressen und Namen der Kunden verschafft, um echt wirkende E-Mails versenden zu können. Es wurden per SQL-Injection auch im Shop selber Inhalte hinterlegt, was K&M in der Meldung natürlich verschwieg.

Gezielter Angriff auf Kunden von K&M-Elektronik” (heise.de)

Die Kriminellen nutzen offenbar eine SQL-Injection-Lücke im Webshop von K&M, um einen Verweis auf das extern gehostete Java-Applet in den Quelltext der Shop-Seite beim Aufruf einzubetten.

Und nun ist es wieder SQL-Injection, über die die Hacker ins System vordrangen, um alle Daten der Kunden, inkl. der Passworte, die natürlich im Klartext in der Datenbank gespeichert wurden, zu kopieren.

K&M hatte damals bereits einen Experten zum Schließen der Sicherheitslücken hinzugezogen. Über die Güte des Experten kann ich natürlich nichts sagen, aber wenn ich (aktuell noch immer) über eine einfache Google-Suche SQL-Fehlermeldungen finde und somit auch weitere potenzielle Lücken zu SQL-Injection… naja, evtl. auch ein Ei-Tea-Spezial-Experte?

4 comments

  1. Ich habe die Nachrichten auch mit großem Interesse verfolgt, um auch zu sehen, wie sich die großen bei solchen Vorfällen verhalten. Ergebnis: Wie kleine Mädchen, die im Regen stehen.

    Dass die CDU nicht reagiert, war mir fast klar. Warum auch? Das Internet ist doch sowieso böse und im rechtsfreien Raum™ kann man eh nichts gegen Hacker tun. (SCNR)

    K&M Elektronik war/ist etwas orientierungslos. Keine Ahnung was die machen. Man kann sich doch nicht so oft hintereinander in die Nesseln setzen. Scheint so, als hätten sie kein Interesse an einem sicheren Webshop.

    Bei VW bin ich raus. Wie zum Teufel kommt man auf die Idee (öffentlich!) zu sagen: “Ja, wir haben kritische Sicherheitslücken in unserem System. Wir wissen/verraten nur nicht wo.” Also kann man machen, wenn man Bock drauf hat, gleich im Anschluss von tausenden Leuten penetriert zu werden. Was soll das sein? IT-Sicherheit mittels Crowdsourcing? :-P

    Aber wie Du schon sagtest: “Chef, is noch alles da, der Hacker ist ohne Erfolg weitergezogen.”

    So lange diese Sichtweisen etabliert sind, kann man mit IT-Sicherheit aka Hacking kein Geld verdienen. Jedenfalls nicht, wenn man einen weißen Hut trägt.

  2. Warum sollte man mit IT-Security kein Geld verdienen können? Ein ganze Branche lebt davon den Kunden irgend ein Zeug (Virenscanner, WAF, etc. … Snakeoil eben) zu verkaufen. Auch als Hacker kann man damit legal Geld verdienen, wie ich zum Beispiel. :O)

  3. “Ein ganze Branche lebt davon den Kunden irgend ein Zeug (Virenscanner, WAF, etc. … Snakeoil eben) zu verkaufen.”

    Das kann ein Vertriebler auch. ;-) Ich weiß ja, dass Du keiner bist und auch nicht irgendwelchen Schrott verkaufst. Mein Ding wäre wohl ehr das Pentesting. Aber die meisten halten das ja für etwas versautes oder denken, dass man da Stifte auf Funktion prüft… :-P

  4. Wenn mich jemand fragt, dann sage ich dass ich Auftragshacker bin, da haben die Leute schon eine gewisse Ahnung, von dem was ich mache. Oder ich bin ein Penntester, der testet wo in einem System jemand gepennt hat. :O)

Comments are closed.