Press "Enter" to skip to content

Samsung, Rolls-Royce-Informationen von Leaky Database veröffentlicht, sagt Sicherheitsfirma

Wenn Sie als Krimineller Millionen von Dollar von einem Unternehmen stehlen wollten, könnte ein Ausgangspunkt sein, herauszufinden, wem es Geld schuldet. Zahlt es Miete in einem seiner Büros? Wie oft werden Zahlungen für die teure Software oder Ausrüstung geleistet, die geleast wird? Welche überarbeitete Kundenbetreuerin wickelt diese Zahlungen ab und was würde sie tun, um nach einer langen Woche zu ihren drei Kindern nach Hause zu kommen und versehentlich die Zahlung an Sie anstelle der von ihr verwalteten Konten zu autorisieren?

Während die Arten von Informationen, die für die Durchführung dieser Art von Social-Engineering-Angriffen erforderlich sind, normalerweise hinter Unternehmensfirewalls geschützt sind, stellte das britische Cybersicherheitsunternehmen TurgenSec fest, dass eine Datenbank mit genau dieser Art von Daten vollständig offen blieb und für jeden Hacker mit einem Webbrowser sichtbar war nahm sich die Zeit zu schauen.

Die Datenbank, die zur Leasingverwaltungssoftware eines Unternehmens namens LeaseSolution gehört, enthält laut TurgenSec-Forschern 6 Millionen Datenbankeinträge mit vertraulichen Geschäftsinformationen von neun Unternehmen, darunter Samsung und Rolls-Royce.

Die Datenbank scheint jetzt offline geschaltet worden zu sein. LeaseSolution antwortete nicht auf die Bitte von Gizmodo um einen Kommentar. Wir haben uns an Samsung und Rolls-Royce gewandt und werden aktualisieren, sobald wir etwas hören.

Nach der Entdeckung von TurgenSec war die Website von LeaseSolution in Großbritannien am Freitag aufgrund eines “Fehlers beim Herstellen einer Datenbankverbindung” nicht sichtbar. Über das Wochenende scheint das Unternehmen es jedoch aktualisiert und neu gestaltet zu haben, um die Sicherheit im Vordergrund zu gewährleisten. Ironischerweise bleibt der Webdatenverkehr auf der Website unverschlüsselt. In Marketingmaterial wird die als LS2 bekannte Software als sichere Umgebung dargestellt, um die Dokumentation und Zahlungen während der gesamten Laufzeit eines bestimmten Leasingvertrags zu verfolgen. Zum Beispiel könnte ein Unternehmen wie Rolls-Royce LS2 verwenden, um die Flugzeugtriebwerke zu verfolgen, die sie an eine Fluggesellschaft geleast haben.

Während die offengelegten Daten auf die Unternehmenskunden der Unternehmen beschränkt sind, die diese Software verwenden, basiert ein System wie LS2 auf der Speicherung vertraulicher Informationen über Leasingnehmer. Laut TurgenSec umfasste jede der 6 Millionen Datenpotenzialzeilen mehr als 300 Datenheader, darunter Telefonnummern, E-Mail-Adressen, Berufsbezeichnungen, Links zu anderen Datenbanken und mehr. Vielleicht interessanter war, dass die verletzten Daten Vermögenswerte enthielten, die ein Kunde geleast hatte – Bürogebäude, Industriemaschinen, Geschäftsreiseflugzeuge.

LeaseSolution ist gesetzlich verpflichtet, das Büro des Informationskommissars innerhalb von 48 Stunden nach Benachrichtigung über Datenverletzungen zu informieren. Während TurgenSec LeaseSolution am 15. April über seine Entdeckung informiert hat, ist unklar, ob der ICO benachrichtigt wurde. ICO reagierte nicht sofort auf unsere Bitte um Kommentar.

Zugegeben, ein Verstoß gegen eine “Lease Management” -Datenbank zaubert keine besonders glamourösen Bilder von hochintensiven Cyber-Überfällen. Es sind jedoch häufig diese Arten von weltlicher oder übersehener Software, die die wertvollsten Informationen für Kriminelle enthalten. Letzte Woche berichtete beispielsweise Gizmodo US, dass Hunderttausende von Faxen in Amerika in ungesicherten Datenbanken öffentlich zugänglich gemacht wurden, wodurch Sozialversicherungsnummern, Bankinformationen und vertraulichere persönliche Informationen offengelegt wurden. Es ist eine frustrierende Erinnerung daran, dass selbst wenn Sie mit Ihrer Sicherheit alles richtig machen, der Mist eines anderen immer noch zurückkommen kann, um Sie zu holen.

Ausgewähltes Bild: Jung Yeon-je / AFP (Getty)