Hacker vs. IT-Sicherheit

12 haarsträubende Security-Desaster

17.11.2017
Von  und


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.
James A. Martin ist Autor des Blogs "Living the Tech Life" unserer US-Schwesterpublikation CIO.com.

1, 2, 3, Gehackt!

Eine Phishing-E-Mail setzte auch diesen massiven Datendiebstahl in Gang: Bei einem Hackerangriff auf die Auktionsplattform eBay im Mai 2014 wurden die Account-Daten von circa 145 Millionen Usern kompromittiert. Die Angreifer hatten dabei für ganze 229 Tage vollen Zugriff auf das Unternehmensnetzwerk, bevor der Einbruch festgestellt wurde.

Natürlich kann eine solche Attacke jedes Unternehmen treffen - insbesondere wenn dabei eine gut gemachte Phishing-Mail zum Einsatz kommt. Aber die Reaktion des Unternehmens wurde von Experten als "peinlicher als die eigentliche Attacke" beschrieben. Begründung: eBay habe drei Monate gebraucht, um den Hackerangriff zu bemerken, nur um dann noch einmal zwei Wochen zu warten, bis die Öffentlichkeit informiert wurde.

So sicher wie das Pentagon - fast!

Auch beim US-Einzelhandelsunternehmen Target begann ein großangelegter Hackerangriff mit einer Phishing-Mail. So konnten Angreifer mit der Malware "Citadel" Login-Daten eines Partnerunternehmens abgreifen, die ihnen wiederum Zugang zum Netzwerk von Target verschafften.

So landeten am Ende die persönlichen Daten von circa 70 Millionen Target-Kunden sowie 40 Millionen Kreditkarten-Datensätze bei kriminellen Hackern. Wie Bloomberg im Nachgang berichtete, nutzte Target dasselbe Security-System wie das Pentagon - mit einem feinen Unterschied: Ein kritisches Feature war nicht aktiv, weil die Sicherheits-Spezialisten der Funktion nicht trauten.

Kochen ohne Salz

Bei einer Hackerattacke im Juni 2012 wurden beim Karriere-Netzwerk LinkedIn vermeintlich 6,5 Millionen User-Passwörter gestohlen. Experten ließen damals verlauten, LinkedIn habe die Passwörter seiner Nutzer unzureichend geschützt, da bei der Verschlüsselung keine "Salts" zum Einsatz gekommen waren, was die Dechiffrierung deutlich erleichtert habe.

Immerhin entschuldigte sich LinkedIn direkt nach Bekanntwerden des Hacks öffentlich bei seinen Usern und bat diese, ihre Passwörter zu ändern. Das FBI macht inzwischen den Russen Yevgeniy Nikulin für den Hackerangriff verantwortlich. Im Jahr 2016 musste LinkedIn eingestehen, dass von dem Breach 100 Millionen Nutzer mehr betroffen waren als zunächst angenommen.

Vertrau mir!

eHarmony bezeichnet sich als "#1 trusted dating site". Zur Untermauerung der Vertrauenswürdigkeit des Unternehmens sind die Vorfälle aus dem Jahr 2012 allerdings eher ungeeignet. Die Passwörter von 1,5 Millionen Nutzern fielen in die Hände von kriminellen Hackern und wurden kurze Zeit später in einem russischen Hacker-Forum veröffentlicht.

Zwar waren die Passwörter als Hash-Files gespeichert worden, aber - ähnlich wie im Fall von LinkedIn - wurde das "Salzen" vergessen. Dadurch waren die Passwörter für die Cyberunholde in Windeseile geknackt. Nach Meinung von Security-Experten hätten bereits einfache Web-Application-Scanning-Tools über die Schwachstellen bei eHarmony aufklären können.

Multiples Security-Versagen

Der Dropbox-Hack im Juli 2012 konnte nur passieren, weil Irgendjemand eine wirklich ungünstige Entscheidung im Sinne der IT-Sicherheit getroffen hat. Die Todsünde von der wir hier reden ist die Mehrfachnutzung ein- und desselben Passworts. Damals reagierte Dropbox mit einer Mitteilung an die Nutzer, dass ein kleiner Teil der Accounts betroffen ist.

Erst ungefähr vier Jahre später traten dann die vollen Ausmaße dieses Hackerangriffs zutage. Nämlich dann, als die E-Mail-Adressen und Passwörter von knapp 69 Millionen Dropbox-Nutzern im Darknet zum Verkauf angeboten werden. Daraufhin folgte eine massive Passwort-Reset-Initiative. Nach Einschätzung von IT-Sicherheitsexperten hat das Unternehmen dabei einen guten Job gemacht. Aber warten wir erst einmal die nächsten vier Jahre ab.

Mission Failed!

Im Frühjahr 2011 ereilte Sonys PlayStation Network (PSN) ein vorzeitiges "Game Over". Der japanische Elektronik-Riese musste das komplette Netzwerk für drei Wochen offline nehmen, um die Schäden zu beheben. Beim Angriff selbst wurden Login-Daten, Usernamen und persönliche Daten von ungefähr 77 Millionen Nutzern kompromittiert. Im Laufe der Untersuchung des Hacks wurden es dann noch einmal 25 Millionen Datensätze mehr.

Während es relativ schwer ist, ein System komplett gegen Zugriff von außen abzusichern, ist es relativ simpel, Nutzerdaten zu verschlüsseln. Zur Überraschung vieler Experten wurden die PSN-Passwörter aber völlig unverschlüsselt vorgehalten (auch wenn Sony behauptete, sie seien immerhin "gehasht" worden). Im Nachgang des bis dahin größten Hacks aller Zeiten bezifferte Sony den finanziellen Schaden auf 171 Millionen Dollar.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation CSO Online.