Am Montag berichtete der NDR anlässlich der Veröffentlichung der Kriminalstatistik für das Jahr 2024 des Landeskriminalamts Schleswig-Holsteins von einem IT-Unternehmen aus Lübeck, das im vergangenen Jahr eine Ransomware-Attacke erlebt hat. Die Darstellung führte zu Kopfschütteln in der IT-Szene. So äußerte fefe in seinem Blog Unverständnis über die Darstellung des NDR. Mehrere Sicherheitsprobleme und Datenlecks bei dem Unternehmen bestehen weiterhin, ergaben Untersuchungen am Montagabend.
Das Unternehmen Melting Mind hat demnach im April 2024 E-Mail vom BSI erhalten, wonach es "in der jüngeren Vergangenheit auch in unserem Hause zu einem Abfluss von Daten gekommen sein könnte" – so steht es auch noch jetzt nachlesbar auf der Webseite des Unternehmens.
Melting Mind hat im April 2024 ein Datenleck eingeräumt.
(Bild: Screenshot / dmk)
Im Darknet hat die Gruppe APT73 einen Einbruch auf den Servern gemeldet und den Verkauf der Daten angedroht. Der Inhaber des Unternehmens berichtet im NDR, dass eine Lösegeldforderung in Höhe von 50.000 Euro in Bitcoin im Raum stand. Er habe mit den Erpressern eine Ratenzahlung ausgehandelt, 3000 Euro gezahlt und dann seine Kunden informiert, dass diese ihre Daten sichern sollten. Der Bericht geht nicht darauf ein, dass am Ende also das Geld und die Kundendaten futsch waren.
Im Darknet wurden die Daten von Melting Mind trotz der Zahlung von 3000 Euro veröffentlicht.
(Bild: Screenshot / dmk)
Denn die Daten wurden in einem ZIP-Paket verschnürt dennoch im Darknet auf der Leak-Site der Erpresser veröffentlicht.
Eine anonyme Quelle hat uns auf die Schwachstellensuchmaschine Leakix hingewiesen, die etwa mit der bekannten Suchmaschine Shodan vergleichbar ist. Die liefert auch am heutigen Dienstag noch eine umfangreiche Trefferliste für melting-mind.de. Die sucht das frei erreichbare Web unter anderem nach Systemdateien wie .DS_Store-Dateien auf Webservern.
macOS legt Metadaten zu Verzeichnissen in .DS_Store-Dateien an, darin stehen etwa Verzeichnisstrukturen. Bei unzureichender Aufmerksamkeit von Mitarbeitern landen diese dann auch auf dem Webserver – das ist tatsächlich oft der Fall. Die sind dort frei zugreifbar und geben Einblicke, was für Verzeichnisse und Dateien auf dem Server liegen.
Dadurch fanden sich etwa .git-Ordner. Damit lässt sich aus den im Webroot liegenden, frei zugreifbaren Repositories – auch ohne aktivierte Directory-Listings auf dem Webserver, da git in der Regel vorhersagbare URLs erzeugt – unter anderem der gesamte Quellcode der Webseite herunterladen. Darin finden sich etwa Klartext-Zugangsdaten zu Datenbanken. Aber auch beispielsweise Hinweise darauf, dass die Passwörter zwar mit einem Salt, aber lediglich MD5 gehasht werden.
Schlussendlich ist mit frei auf der Webseite von Melting Mind abrufbaren Zugangsdaten eine SQL-Datenbank zugänglich. Sie enthält etwa 17.000 Kundendatensätze mit mehr als 3000 Bankverbindungen. Sie ist zum Meldungszeitpunkt auf den Melting-Mind-Systemen nach wie vor erreichbar. Das scheint bereits länger der Fall zu sein: Laut der Daten von der Leakix-Webseite standen schützenswerte Informationen teilweise bereits seit 2022 frei im Netz.
Auf unsere Anfrage hat Fabian Schmidt von Melting Mind geantwortet: "Wir prüfen zur Zeit den Umfang und gehen auch der Quelle der Problematik nach. Selbstverständlich werden wir diese Daten umgehend vor Zugriff schützen." Das Unternehmen werde innerhalb der gesetzlichen Fristen entsprechende Meldungen bei den zuständigen Behörden erstatten. "Wir gehen davon aus, dass wir die meisten Herausforderungen heute im Laufe des Tages zumindest temporär entsprechend behandelt haben werden."
Die Landes-Datenschutzbeauftragte von Schleswig-Holstein, Dr. h.c. Marit Hansen, hat bislang noch nicht auf unsere Fragen reagieren können.
(
Kommentare