Die Vertraulichkeit von 50.000 get-Usern ist inmitten eines Datenbruchs gefährdet
Im Mai 2017 brachte eine Ticketing-Plattform namens Qnect die Nachricht aus den falschen Gründen. Die Nutzerbasis von Qnect bestand hauptsächlich aus australischen Studenten, die plötzlich seltsame unerwünschte SMS erhielten. Die Texte wurden Berichten zufolge von Hackern gesendet, die in die Systeme von Qnect eingebrochen waren und die Daten einiger seiner Benutzer gestohlen hatten. Die Nachrichten besagten, dass die Daten öffentlich zugänglich gemacht würden, wenn kein Lösegeld gezahlt würde, und die Benutzer aufgefordert würden, das Management von Qnect zu überreden, die Bitcoins abzuspucken.
Es ist unklar, wie sich die ganze Geschichte entwickelt hat. Wir wissen, dass Qnect jetzt Get heißt. Wir wissen auch, dass die Privatsphäre seiner Nutzer erneut bedroht ist.
Table of Contents
Ein Student entdeckt einen schwerwiegenden Verstoß gegen die Datenschutzbestimmungen
Ein Student an der Universität von New South Wales versuchte, die Dienste von Get zu nutzen, als er entdeckte, dass dank einer unsicheren Implementierung einiger APIs die persönlichen Informationen von etwa 50.000 Personen (oder einem Drittel der gesamten Nutzerbasis von Get) mit Furcht erregender Wahrscheinlichkeit abgerufen werden können Leichtigkeit. Der fragliche Student nutzte seinen Reddit-Account, um die Geschichte mit allen zu teilen , und sagte zunächst, dass er derzeit Nachforschungen über Unternehmen anstellt, bei denen Datenverletzungen aufgetreten sind. Die Entdeckung wurde jedoch nicht während seiner Recherche gemacht.
Was er versuchte, war eine Get-Gesellschaft auf der Website der Plattform zu finden. Wie es das Glück wollte, tippte er den Namen der Gesellschaft falsch ein, und die Ergebnisse, die erschienen, sahen ziemlich interessant aus. Der Tippfehler bedeutete, dass er anstelle von nützlichen Informationen, die öffentlich zugänglich sein sollten, die persönlichen Daten von Studenten untersuchte, die Get verwendet hatten. Dann gab er die Namen eines seiner Freunde in die Suchmaschine ein und war schockiert, als er herausfand, dass Get die persönlichen Daten seiner Benutzer offenlegte.
Der Student nutzte dann sein Fachwissen, um genauer hinzuschauen, und er stellte schnell fest, dass es "eine Reihe von" schlechten Praktiken gab. Offensichtlich lag das größte Problem darin, dass der Suchdienst persönliche Informationen herausgab, und als ob das nicht genug wäre, erforderte er keine Token, was bedeutet, dass jeder, unabhängig davon, ob er welche hat oder nicht Ein Konto abrufen, könnte es verwenden.
Jemand hat anscheinend durch die exponierten Daten gestöbert
Laut dem Studenten, der die Datenverletzung entdeckt hat, gibt es "zahlreiche Beweise" für SQL-Injection-Angriffe auf diesen bestimmten Abschnitt der Get-Infrastruktur. Er scheint ziemlich überzeugt zu sein, dass es jemandem gelungen ist, die entblößten Informationen vor sich in die Hände zu bekommen. Dies bedeutet, dass die Art der durchgesickerten Daten umso wichtiger ist.
Zum Glück werden alle Zahlungen von einem Drittanbieter verarbeitet, sodass keine finanziellen Details offen gelegt wurden. Es gibt auch keine Hinweise auf durchgesickerte Passwörter, was ebenfalls eine gute Nachricht ist.
Zu den Details, die während des Verstoßes bekannt wurden, gehören Namen, Facebook-IDs, Geburtstage und Telefonnummern. In der Tat ist es nicht das sensibelste Leck, aber Get Users sollten immer noch nach Betrugsanrufen, Texten, die denen ähneln, die sie vor zweieinhalb Jahren erhalten haben, und Phishing-E-Mails Ausschau halten.
Antwort von Get
Der Student, der die Lücke entdeckt hatte, sagte, bevor er seine Erkenntnisse an Reddit weitergab, habe er versucht, jemanden bei Get zu finden und das Problem verantwortungsvoll offenzulegen. Anscheinend bekam er keine Antwort. Die Geschichte von Get ist jedoch etwas anders.
Get's IT-Mitarbeiter hörten demnach am 6. September zum ersten Mal von dem Problem, als ihnen "eine Reihe von Organisationen" mitteilte, dass ihre Systeme möglicherweise anfällig sind. Am Samstag wurden die unsicheren API-Aufrufe mit einem Token versehen, und seitdem arbeitet das Team intensiv daran, zu untersuchen, was und warum schief gelaufen ist.
Get hat tägliche Updates herausgegeben , die leider nicht viele zusätzliche Informationen enthalten. Die Plattform scheint nicht besonders darauf bedacht zu sein, Hinweise auf frühere Angriffe zu erörtern, die von dem Schüler erwähnt wurden, der die Sicherheitslücke entdeckt hat, und es wird auch nichts über eine andere Sicherheitslücke gesagt, die im selben Reddit-Thread erörtert wird.
Alles in allem haben wir ein er-sagte-sie-sagte-Szenario, was bedeutet, dass es nicht sehr einfach ist zu beurteilen, wie gut man auf die ganze Sache reagiert. Eine Sache, über die sich niemand streiten will, ist, dass dasselbe Unternehmen (wenn auch unter einem anderen Namen) in genau so vielen Jahren zwei Vorfälle mit Datenschutzverletzungen verzeichnet hat. Und das macht definitiv keinen guten Eindruck.