Share
Beitragsbild zu Hackerone warnt vor den wachsenden Risiken durch Improper Authentication

Hackerone warnt vor den wachsenden Risiken durch Improper Authentication

Erst vor wenigen Tagen wurde bekannt, dass der US-amerikanische Hersteller von Fitnessgeräten Peloton seine Laufbänder nach einer zum Teil tödlich verlaufenden Unfallserie mit Kleinkindern zurückruft. Neben den bereits zuvor in Verruf geratenen Laufbändern hat das Unternehmen nun jedoch noch mit einem weiteren Problem zu kämpfen: Wie die auf Cybersicherheit spezialisierte US-Webseite Threat Post berichtet, kam es aufgrund einer fehlerhaft konfigurierten API zu einem Datensicherheitsvorfall in Verbindung mit den Fitness-Bikes von Peloton, bei dem Kundendaten einsehbar waren.

Das Unternehmen reagierte erst viel zu spät auf die ihm zuvor gemeldete Sicherheitslücke, wie der Sicherheitsforscher von Pen Test Partners, Jan Masters, in einem Blog-Beitrag darlegt. Darin erläutert Masters zudem umfassend die zugrundeliegende Problematik und beschreibt die Sicherheitslücken anhand dreier Schwächen (Issues) der API.

Ben Sadeghipour, Head of Hacker Education bei Hackerone, hat diesen Vorfall nun zum Anlass genommen, um auf die Risiken in Verbindung mit fehlerhaft konfigurierten APIs hinzuweisen – seinen Kommentar finden Sie hier im Folgenden:

„Der Hauptgrund für dieses Problem ist die unsachgemäße Authentifizierung – oder Improper Authentication–, eine der von Hackern auf Hackerone meistgemeldeten Schwachstellen. In dieser Hinsicht konnten wir feststellen, dass der Betrag, den Unternehmen für die Meldung von Schwachstellen im Zusammenhang mit unsachgemäßer Authentifizierung zahlen, von Jahr zu Jahr um 36 Prozent zunimmt. Wenn sich Entwicklungszyklen beschleunigen, steigt unweigerlich auch die Wahrscheinlichkeit dafür, dass sich Schwachstellen in den Code einschleichen. Daher überrascht es kaum, dass bei der Geschwindigkeit moderner Softwareentwicklung Schwachstellen wie diese immer wieder auftreten. Bei einer unbekannten Domäne wie der in diesem Fall referenzierten, braucht es einen gegnerischen Ansatz mit einer angemessenen Untersuchung, um die Assets und das Risiko zu identifizieren, das sie für die Benutzer darstellen.

Bei ‚Issue 3‘ war der Hacker in der Lage, eine Backend-API, bzw. ein Backend-System, zu identifizieren, in dem die Schwachstelle zu finden war. Da diese Domäne Graphql nutzt, ist es nicht sehr schwer, auf ihr Schema zuzugreifen und es zu spezifizieren, sofern man über ein fundamentales Verständnis für Graphql verfügt – was bei vielen guten Hackern der Fall ist. Aber der Erfolg aller Prüfungen auf Sicherheitslücken hängt davon ab, dass auch Maßnahmen ergriffen werden, um die Schwachstellen zu schließen. Unternehmen können die beste Technologie und die besten Systeme zum Einsatz bringen, jedoch funktionieren diese nur so lannge, bis jemand darin einen Fehler entdeckt und diesen direkt ausnützt.

Deshalb ist es wichtig, dass die Sicherheitsteams der Unternehmen in der Lage sind, schnell und effektiv auf Meldungen von Schwachstellen und Sicherheitslücken zu reagieren, um zu verhindern, dass diese von böswilligen Akteuren ausgenutzt werden. Denn diese könnten die nächsten sein, die das Problem ebenfalls erkennen. Eine Richtlinie zur Offenlegung von Schwachstellen ist ein wichtiger und weithin akzeptierter Ansatz, um sicherzustellen, dass gefundene Sicherheitslücken in die richtigen Hände gelangen und auch behoben werden.“

 

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Wie sich Prompt-Bombing-Angriffe im Zuge von Multifaktor-Authentifizierung vermeiden lassen”

Wie sich Prompt-Bombing-Angriffe im Zuge von Multifaktor-Authentifizierung vermeiden lassen

Featured image for “Gesundheitswesen: Sichere Zukunft in der Cloud”

Gesundheitswesen: Sichere Zukunft in der Cloud

Featured image for “Tipps für Hotels zum Schutz vor Cyberangriffen”

Tipps für Hotels zum Schutz vor Cyberangriffen

Featured image for “Gibt es den Königsweg bei SAP-Berechtigungskonzepten?”

Gibt es den Königsweg bei SAP-Berechtigungskonzepten?

Featured image for “Das Metaversum schafft neue schwarze Löcher voll digitaler Unsicherheit”

Das Metaversum schafft neue schwarze Löcher voll digitaler Unsicherheit

Studien

Featured image for “World Quality Report 2022: Quality Engineering unterstützt nachhaltige IT”

World Quality Report 2022: Quality Engineering unterstützt nachhaltige IT

Featured image for “Low-Code Studie: Von der Krisentechnologie zur Kerntechnologie”

Low-Code Studie: Von der Krisentechnologie zur Kerntechnologie

Featured image for “Globale Führungskräfte sagen: Hybrid Cloud ist entscheidend für die Modernisierung, aber Bedenken bezüglich Sicherheit, Qualifikation und Compliance behindern den Erfolg”

Globale Führungskräfte sagen: Hybrid Cloud ist entscheidend für die Modernisierung, aber Bedenken bezüglich Sicherheit, Qualifikation und Compliance behindern den Erfolg

Featured image for “Deutschland steht weltweit auf Platz 5 bei Ransomware-Angriffen: Welche Unternehmen sind am stärksten betroffen?”

Deutschland steht weltweit auf Platz 5 bei Ransomware-Angriffen: Welche Unternehmen sind am stärksten betroffen?

Featured image for “Studie von KPMG und Lünendonk: Digitaler Wandel in der Finanzindustrie – Entwicklung zum datengetriebenen Unternehmen”

Studie von KPMG und Lünendonk: Digitaler Wandel in der Finanzindustrie – Entwicklung zum datengetriebenen Unternehmen

Whitepaper

Featured image for “Whitepaper für sicheren Datentransfer”

Whitepaper für sicheren Datentransfer

Featured image for “Schützen Sie Ihr Unternehmen vor Cyberangriffen”

Schützen Sie Ihr Unternehmen vor Cyberangriffen

Featured image for “Verschlüsselte Malware und Office-Schwachstellen bereiten Grund zur Sorge”

Verschlüsselte Malware und Office-Schwachstellen bereiten Grund zur Sorge

Featured image for “Threat Intelligence Report: Angreifer setzen Cyberattacken mit größerer Präzision und innovativen Angriffsmethoden fort”

Threat Intelligence Report: Angreifer setzen Cyberattacken mit größerer Präzision und innovativen Angriffsmethoden fort

Featured image for “White Paper: Sensible Prozesse sicher und einfach automatisieren”

White Paper: Sensible Prozesse sicher und einfach automatisieren

Unter4Ohren

Featured image for “Customer Success = „Journey to Success“”

Customer Success = „Journey to Success“

Featured image for “Was sind die Treiber für zukünftige Rechenzentren?”

Was sind die Treiber für zukünftige Rechenzentren?

Featured image for “Schatten IT – Wie DNS Licht ins Dunkel bringen kann”

Schatten IT – Wie DNS Licht ins Dunkel bringen kann

Featured image for “Cyberrisiken im erweiterten Zulieferer-Netzwerk”

Cyberrisiken im erweiterten Zulieferer-Netzwerk

Featured image for “In der Rumpelkammer der Softwareentwicklung – mit Fokus auf SAP”

In der Rumpelkammer der Softwareentwicklung – mit Fokus auf SAP