Erneut 840.000 Kundendaten von K&M Elektronik erbeutet - Update
Zum wiederholten Male ist der Händler K&M Elektronik scheinbar Opfer eines Datendiebstahls geworden. Dabei sollen 840.000 Datensätze mit Kundeninformationen kopiert worden sein. Die bisher öffentlich nicht in Erscheinung getretene Gruppe 0xx0-Team hat auf ihrer Webseite eine entsprechende Erklärung veröffentlicht. Im Gegensatz zu den letzten Angriffen, wo von Unbekannten Kundendaten gestohlen wurden und teilweise zum Phishing genutzt wurden, betont die Gruppe, dass man die Daten nicht veröffentlichen werde. Man habe lediglich Interesse an Sicherheitslücken offenzulegen, nicht aber den Kunden zu schaden. Um die eigenen Aussagen zu untermauern hat man allerdings einige kleinere Auszüge aus den Datenbanken veröffentlicht, bei denen Namen, Anschrift, E-Mail-Adressen und Teile von Passwörtern erkennbar sind.
Bereits im Juni 2011 war bei K&M eine Sicherheitslücke ausgenutzt worden, um ein Java-Applet auf eine Seite im Shop zu schleusen. Über dieses wurde dann versucht ein Schadprogramm auf den Rechner des Benutzers zu laden. Dabei machten sich die Angreifer vermutlich 2009 entwendende Kundendaten zunutze und verschickten angebliche Gutscheinlinks an die registrierten Kunden. Nach dem K&M die Seite vollständig offline genommen hatte, versicherte man, dass die Lücken mittlerweile geschlossen und die Server durch ein externes Unternehmen überprüft worden seien. Nach beiden Vorfällen wurden die Kunden allerdings nicht per Mail informiert. Details, wer zu welchem Zeitpunkt Zugriff auf die Daten hatte, nannte das Unternehmen nicht.
Jedoch scheinen die Server trotz verstärkter Bemühungen auch weiterhin angreifbar zu sein und dabei auch sensible Daten unbemerkt zugänglich zu sein. Die Hackergruppe listet diverse Cross-Site-Scripting-(XSS)-Lücken, die den Angriff ermöglichten und verweist ebenso auf SQL-Lücken, die man noch nicht näher veröffentlichen wolle. Über eine solche Lücke wurde im Juni auch das Schadprogramm auf die Seite geschleust. Neben den Kundendaten wurden auch 46 weitere Datenbanken von K&M entwendet. Wenn man den Angaben des 0xx0-Team Vertrauen schenken kann, wurden die Passwörter in der Datenbank unverschlüsselt abgelegt. Entsprechend sollten User, die das gleiche Passwort auch anderswo verwenden, dieses so schnell wie möglich dort ändern. Auch wenn die Gruppe tatsächlich wie versprochen der Hacker-Ethik treu bleibt, ist weder eine Weitergabe völlig auszuschließen, noch dass weitere Personen und Gruppen sich Zugang verschafft haben könnten.
Derzeit prüft die Rechtsabteilung von K&M Elektronik nach eigener Aussage die Informationen zum Angriff. Eine offizielle Stellungsnahme gibt es aber noch nicht.
Update 22:12 Uhr:
Wie 0xx0 auf ihrer Seite mitteilen, wurden die diversen Lücken bei K&M Elektronik wohl mittlerweile geschlossen. Die Gruppe führt die prompte Reaktion auch auf die Berichterstattung in den Medien zurück, während vorher auf die Warnungen nur sehr zögerlich reagiert wurde. Allerdings gibt es bei K&M selbst noch keine Stellungnahme zum Umfang und Behebung des Problems zu sehen.
Weiterführende Links: