04.07.2018
Anbieter von Online-Formularen gehackt
Großer Datendiebstahl bei Typeform
Autor: Andreas Fischer
welcomia / shutterstock.com
So praktisch SaaS ist, das Konzept birgt auch große Risiken. Wenn wie jetzt etwa Typeform ein SaaS-Provider das Opfer eines Datendiebstahls wird, dann sind meist auch die Kunden des Anbieters betroffen.
Viele Unternehmen binden heutzutage immer wieder diverse Online-Umfragen in ihre Web-Seiten ein. Dabei greifen sie gerne auf vorgenerierte Formulare von externen Anbietern zu. Eines dieser Unternehmen, der spanische Software-as-a-Service-Spezialist (SaaS) Typeform, musste nun einen Datendiebstahl eingestehen, bei dem auch zahlreiche Datensätze von Kunden des Unternehmens geklaut worden sein sollen.
Der oder die Angreifer konnten sich laut Typeform Zugriff auf ein Backup von Anfang Mai dieses Jahres verschaffen. Darin enthalten waren API-Keys, Token zum Zugriff auf die von Typeform angebotenen Dienste und Zugangsdaten zu OAuth-Applikationen, aber auch Daten von Kunden, die Online-Formulare ausgefüllt hatten. Um welche Informationen es sich dabei genau handelte, teilte Typeform nicht mit. Laut Medienberichten meldeten sich aber bereits mehrere betroffene Unternehmen wie Fortnum & Mason. Wie das Londoner Kaufhaus mitteilte, wurden ihm etwa 23.000 Datensätze gestohlen. Sie enthielten E-Mail-Adressen, Antworten auf Fragen und teilweise auch Postadressen sowie andere private Informationen der Nutzer.
Späte Info per Mail
Mittlerweile meldeten sich laut The Register noch weitere Typeform-Kunden, die von dem Diebstahl betroffen sind. Sie wurden von dem Unternehmen Ende Juni per E-Mail informiert. Dabei soll es sich unter anderem um die australische Backkette Bakers Delight, den Hotelanbieter Travelodge, die britische Monzo-Bank, die australische Republikanische Bewegung sowie die tasmanische Wahlkommission handeln, denen jeweils Daten abhanden gekommen sein sollen. Im letztgenannten Fall waren es sogar Informationen, die aus einer Online-Wahl stammen sollen.
Laut Typeform wurden jedoch nur Daten gestohlen, die vor Anfang Mai erfasst wurden. Seit Bekanntwerden des Vorfalls habe man bereits eine umfassende Analyse der bislang getroffenen Sicherheitsmaßnahmen vorgenommen und bereite nun weitere Schritte vor, um künftige Datendiebstähle zu verhindern.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>