“Mitgliederdaten der CDU geklaut” (heise.de)

Wie erst jetzt bekannt wurde, ist das Mitgliedernetz der CDU schon im August 2009 Opfer eines Angriffs geworden.
(…)
Der Hackerangriff 2009 sei zwar registriert worden, zum damaligen Zeitpunkt konnte aber kein Datenverlust festgestellt werden, erklärte ein CDU-Sprecher im Gespräch mit heise online.

“Chef, is noch alles da, der Hacker ist ohne Erfolg weitergezogen.”

Auch ich habe ab 2009 die CDU mehrfach auf verschiedene Sicherheitslücken hingewiesen, aber bisher habe ich nie eine Antwort bekommen. Wenn es mir wirklich wichtig wäre, dann hätte ich natürlich mehrfach zu jeder Lücke nachgehakt, aber bei den Konservativen, die die Asche weitertragen wollen und nicht das Feuer, mache ich da eine Ausnahme. Früher oder später werden auch sie die Lücken feststellen — auf die eine oder andere Art. :O)


“Volkswagen anfällig für Angriffe” (golem.de)

VW sei nur schlecht gegen Attacken über das Internet gesichert. (…) in die Produktion eingreifen, (…) vertrauliche Unterlagen etwa über künftige Automodelle entwenden.
(…)
Bisher war VW noch keinen Angriffen über das Internet ausgesetzt.

“Chef, is noch alles da, wir hatten noch nie Besuch von einem Hacker.”

Was glauben diese Ei-Tea-Spezial-Expert? Nur weil Daten nicht gelöscht wurden oder ein Angriff nicht an die große Glocke gehängt wurde, gab es keine Angriffe?

Wie dämlich muss man sein, um in solchen Firmen einen gut bezahlten Job zu bekommen? Tja, ich werde wohl nie reich werden. :O)


Um hier nicht einen falschen Eindruck zu verbreiten, solche Experten werkeln nicht nur in Organisationen und Firmen, die nicht direkt mit dem Internet ihr Geld verdienen.

“Neue Hacker-Gruppe stiehlt 840.000 Kundendaten bei K&M – Elektronik” (gulli.com)

Vor zwei Monaten…

“Achtung! Phishing-Mails im Umlauf!” (kmelektronik.de)

Mittlerweile sind unsere Server wieder online und die entsprechende Sicherheitslücke wurde behoben. Unsere Recherchen haben bisher folgendes ergeben:

Am gestrigen Abend (21.06.2011) erhielten viele Kunden unseres Shops eine E-Mail mit dem Betreff „K&M Elektronik Gutschein“, die wie folgt aussah:

Ein Angreifer hatte sich damals Zugang zu E-Mail-Adressen und Namen der Kunden verschafft, um echt wirkende E-Mails versenden zu können. Es wurden per SQL-Injection auch im Shop selber Inhalte hinterlegt, was K&M in der Meldung natürlich verschwieg.

“Gezielter Angriff auf Kunden von K&M-Elektronik” (heise.de)

Die Kriminellen nutzen offenbar eine SQL-Injection-Lücke im Webshop von K&M, um einen Verweis auf das extern gehostete Java-Applet in den Quelltext der Shop-Seite beim Aufruf einzubetten.

Und nun ist es wieder SQL-Injection, über die die Hacker ins System vordrangen, um alle Daten der Kunden, inkl. der Passworte, die natürlich im Klartext in der Datenbank gespeichert wurden, zu kopieren.

K&M hatte damals bereits einen Experten zum Schließen der Sicherheitslücken hinzugezogen. Über die Güte des Experten kann ich natürlich nichts sagen, aber wenn ich (aktuell noch immer) über eine einfache Google-Suche SQL-Fehlermeldungen finde und somit auch weitere potenzielle Lücken zu SQL-Injection… naja, evtl. auch ein Ei-Tea-Spezial-Experte?

Am vergangenen Sonntag habe ich eine kleine Website ins Netz geschubst, auf der ich die Seiten aufliste die in irgend einer Form die Nutzung des nPA erlauben.

http://npa-in-aktion.de/

In dem PDF Liste der Diensteanbieter mit Berechtigungszertifikat (personalausweisportal.de) findet man zur Zeit 43 verschiedene Anbieter (Stand: 01.02.2011), aber nur auf 9 Websites gibt es auch Futter für den neuen Personalausweis.

Irgendwie kann ich mich des Eindruckes nicht erwehren, dass die Anbieter die bereits das Berechtigungszertifikat besitzen noch voll auf der Bremse stehen und sich nicht so recht trauen ihr Zertifikat zu nutzen. Zum Teil gibt es wohl noch technische Probleme und der Personal- und Kostenaufwand ist wohl auch nicht unerheblich.

Auch die Anbieter die bereits den nPA auf ihrer Website unterstützen haben noch so einige technische Probleme bzw. Sicherheitslücken wo sich mir die Nackenhaare aufstellen, aber dazu später mehr an dieser Stelle. :O)


Noch kurz zu dem was ich da technisch verbrochen habe.

Ja, es ist ein WordPress, aber,
nein, es ist kein Blog.

Ich habe alle Funktionen die einen Blog auszeichnen entfernt, da gibt es nichts zu kommentieren und auch nichts zu spammen oder zu linkbuilden, was der eigentliche Grund für die Blog-Kastration war, denn ich will meine Zeit nicht mit diesen SEO-Schwachmaten verschwenden.