Die Vertraulichkeit von 50.000 get-Usern ist inmitten eines Datenbruchs gefährdet

Get Data Breach

Im Mai 2017 brachte eine Ticketing-Plattform namens Qnect die Nachricht aus den falschen Gründen. Die Nutzerbasis von Qnect bestand hauptsächlich aus australischen Studenten, die plötzlich seltsame unerwünschte SMS erhielten. Die Texte wurden Berichten zufolge von Hackern gesendet, die in die Systeme von Qnect eingebrochen waren und die Daten einiger seiner Benutzer gestohlen hatten. Die Nachrichten besagten, dass die Daten öffentlich zugänglich gemacht würden, wenn kein Lösegeld gezahlt würde, und die Benutzer aufgefordert würden, das Management von Qnect zu überreden, die Bitcoins abzuspucken.

Es ist unklar, wie sich die ganze Geschichte entwickelt hat. Wir wissen, dass Qnect jetzt Get heißt. Wir wissen auch, dass die Privatsphäre seiner Nutzer erneut bedroht ist.

Ein Student entdeckt einen schwerwiegenden Verstoß gegen die Datenschutzbestimmungen

Ein Student an der Universität von New South Wales versuchte, die Dienste von Get zu nutzen, als er entdeckte, dass dank einer unsicheren Implementierung einiger APIs die persönlichen Informationen von etwa 50.000 Personen (oder einem Drittel der gesamten Nutzerbasis von Get) mit Furcht erregender Wahrscheinlichkeit abgerufen werden können Leichtigkeit. Der fragliche Student nutzte seinen Reddit-Account, um die Geschichte mit allen zu teilen , und sagte zunächst, dass er derzeit Nachforschungen über Unternehmen anstellt, bei denen Datenverletzungen aufgetreten sind. Die Entdeckung wurde jedoch nicht während seiner Recherche gemacht.

Was er versuchte, war eine Get-Gesellschaft auf der Website der Plattform zu finden. Wie es das Glück wollte, tippte er den Namen der Gesellschaft falsch ein, und die Ergebnisse, die erschienen, sahen ziemlich interessant aus. Der Tippfehler bedeutete, dass er anstelle von nützlichen Informationen, die öffentlich zugänglich sein sollten, die persönlichen Daten von Studenten untersuchte, die Get verwendet hatten. Dann gab er die Namen eines seiner Freunde in die Suchmaschine ein und war schockiert, als er herausfand, dass Get die persönlichen Daten seiner Benutzer offenlegte.

Der Student nutzte dann sein Fachwissen, um genauer hinzuschauen, und er stellte schnell fest, dass es "eine Reihe von" schlechten Praktiken gab. Offensichtlich lag das größte Problem darin, dass der Suchdienst persönliche Informationen herausgab, und als ob das nicht genug wäre, erforderte er keine Token, was bedeutet, dass jeder, unabhängig davon, ob er welche hat oder nicht Ein Konto abrufen, könnte es verwenden.

Jemand hat anscheinend durch die exponierten Daten gestöbert

Laut dem Studenten, der die Datenverletzung entdeckt hat, gibt es "zahlreiche Beweise" für SQL-Injection-Angriffe auf diesen bestimmten Abschnitt der Get-Infrastruktur. Er scheint ziemlich überzeugt zu sein, dass es jemandem gelungen ist, die entblößten Informationen vor sich in die Hände zu bekommen. Dies bedeutet, dass die Art der durchgesickerten Daten umso wichtiger ist.

Zum Glück werden alle Zahlungen von einem Drittanbieter verarbeitet, sodass keine finanziellen Details offen gelegt wurden. Es gibt auch keine Hinweise auf durchgesickerte Passwörter, was ebenfalls eine gute Nachricht ist.

Zu den Details, die während des Verstoßes bekannt wurden, gehören Namen, Facebook-IDs, Geburtstage und Telefonnummern. In der Tat ist es nicht das sensibelste Leck, aber Get Users sollten immer noch nach Betrugsanrufen, Texten, die denen ähneln, die sie vor zweieinhalb Jahren erhalten haben, und Phishing-E-Mails Ausschau halten.

Antwort von Get

Der Student, der die Lücke entdeckt hatte, sagte, bevor er seine Erkenntnisse an Reddit weitergab, habe er versucht, jemanden bei Get zu finden und das Problem verantwortungsvoll offenzulegen. Anscheinend bekam er keine Antwort. Die Geschichte von Get ist jedoch etwas anders.

Get's IT-Mitarbeiter hörten demnach am 6. September zum ersten Mal von dem Problem, als ihnen "eine Reihe von Organisationen" mitteilte, dass ihre Systeme möglicherweise anfällig sind. Am Samstag wurden die unsicheren API-Aufrufe mit einem Token versehen, und seitdem arbeitet das Team intensiv daran, zu untersuchen, was und warum schief gelaufen ist.

Get hat tägliche Updates herausgegeben , die leider nicht viele zusätzliche Informationen enthalten. Die Plattform scheint nicht besonders darauf bedacht zu sein, Hinweise auf frühere Angriffe zu erörtern, die von dem Schüler erwähnt wurden, der die Sicherheitslücke entdeckt hat, und es wird auch nichts über eine andere Sicherheitslücke gesagt, die im selben Reddit-Thread erörtert wird.

Alles in allem haben wir ein er-sagte-sie-sagte-Szenario, was bedeutet, dass es nicht sehr einfach ist zu beurteilen, wie gut man auf die ganze Sache reagiert. Eine Sache, über die sich niemand streiten will, ist, dass dasselbe Unternehmen (wenn auch unter einem anderen Namen) in genau so vielen Jahren zwei Vorfälle mit Datenschutzverletzungen verzeichnet hat. Und das macht definitiv keinen guten Eindruck.

Bis Duran
September 11, 2019
News
Deutsch
September 11, 2019
News

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.