LiveAuctioneers hat einen Datenverstoß von Millionen von Passwörtern, E-Mail-Adressen und Telefonnummern aufgedeckt

Am Samstag gab LiveAuctioneers, eine Online-Plattform, mit der Benutzer an realen Antiquitäten-, Kunst- und Schmuckauktionen teilnehmen können, bekannt, dass einige der persönlichen Daten ihrer Kunden möglicherweise kompromittiert wurden. In der Benachrichtigung wurde schnell darauf hingewiesen, dass der Verstoß bei einem Datenverarbeitungspartner eines Drittanbieters aufgetreten ist und dass LiveAuctioneers nur einer der vielen betroffenen Onlinedienste war. Wir können uns jedoch nicht vorstellen, dass dies die Stimmung aufgehellt hat der Menschen, deren Daten durchgesickert sind.

Hacker greifen nach einem Verstoß Dritter auf LiveAuctioneers-Daten zu

In der ersten Version der Benachrichtigung über Datenschutzverletzungen wurde behauptet, dass die Hacker unter anderem möglicherweise Zugriff auf die letzten vier Ziffern einiger Kreditkarten der Benutzer hatten. Ein Update vom 12. Juli entfernte diese Informationen jedoch. In der geänderten Mitteilung heißt es stattdessen, dass Hacker am 19. Juni den Datenverarbeitungspartner von LiveAuctioneers angriffen und Zugriff auf Benutzernamen, E-Mail- und Postanschriften, Telefonnummern und "verschlüsselte Passwörter" erhielten.

Der Cybersicherheitsexperte Graham Cluley war neugierig zu erfahren, was LiveAuctioneers unter "verschlüsselten Passwörtern" versteht, und er wollte auch wissen, wie viele Personen betroffen sein könnten. Deshalb versuchte er, mit dem Unternehmen in Kontakt zu treten und weitere Informationen anzufordern. Gestern hat er seine Antworten bekommen. Leider stammten sie nicht von LiveAuctioneers, sondern von einem Hacking-Forum, in dem Cyberkriminelle gestohlene Daten kaufen und verkaufen.

Hacker versuchen, die kompromittierten LiveAuctioneers-Daten zu verkaufen

Gestern gaben Forscher von CloudSEK bekannt, dass ihre Risikoüberwachungsplattform eine Anzeige für 3,4 Millionen gestohlene LiveAuctioneers-Datensätze in einem übersichtlichen Web-Hacking-Forum entdeckt hat. Der Beitrag wurde am 10. Juli datiert, einen Tag bevor die Plattform den Verstoß ankündigte, und genau wie LiveAuctioneers sagte, enthielten die Aufzeichnungen Namen, E-Mail- und Postanschriften sowie in einigen Fällen IPs. Für etwa 3 Millionen der Konten behauptete der Verkäufer jedoch auch, die geknackten Passwörter zu haben.

In der Anzeige heißt es, dass die Passwörter mit MD5 gehasht wurden, was, wie Graham Cluley betonte, "nahezu nutzlos" ist, wenn es um den Schutz von Anmeldeinformationen geht, und die bloße Tatsache, dass der Hacker es geschafft hat, die meisten Anmeldedaten in weniger als abzurufen Ein Monat sollte ein ausreichender Beweis dafür sein, wie äußerst unsicher der Algorithmus ist.

Es ist fair zu sagen, dass alle Passwörter jetzt als kompromittiert betrachtet werden sollten, aber ist das so eine schlechte Sache?

Wie schlimm sind die Folgen?

Auf den ersten Blick wird Ihnen vergeben, dass der Verstoß keine so große Sache ist. Das Cybersicherheitsteam von LiveAuctioneers wusste offenbar, dass sie nicht die sicherste Kennwortspeichermethode verwenden, und als sie von dem Verstoß erfuhren, deaktivierten sie sofort die neuesten Kennwörter aller Bieterkonten. Ob es Ihnen gefällt oder nicht, Benutzer, die von dem Angriff betroffen sind, müssen ihre LiveAuctioneers-Passwörter ändern.

Sie müssen jedoch auch sicherstellen, dass die kompromittierten Anmeldedaten nicht auf anderen Websites oder Diensten verwendet werden. Andernfalls können die Hacker ihre Konten mit einem einfachen Angriff zum Ausfüllen von Anmeldeinformationen problemlos übernehmen. Leider ist dies für LiveAuctioneers-Benutzer nur eines der Probleme.

Vergessen wir nicht, dass LiveAuctioneers eine Plattform ist, die beim Verkauf von Kunst, Antiquitäten, Schmuck und anderen teuren Waren hilft. Menschen, die es benutzen, haben viel Geld auszugeben und sind daher das perfekte Ziel für raffinierte Spearphishing-Angriffe. Die personenbezogenen Daten werden ebenfalls nicht kostenlos angeboten, was bedeutet, dass jeder, der sie kauft, sich wahrscheinlich bemühen wird, eine Rendite für seine Investition zu erzielen. Mit anderen Worten, Benutzer von LiveAuctioneers müssen noch vorsichtiger als gewöhnlich sein.