Das von den beiden Hacktivisten Noam Rotem und Ran Locar geleitete Team Vpnmentor, hat Schwachstellen bei Theta360 während eines Web-Mapping-Projekts im vergangenen Monat entdeckt. Die Forscher konnten mit Daten aus privaten und öffentlichen Benutzerkonten auf die weltweite Plattform zugreifen und hatten Zugriff auf mindestens 11 Millionen öffentliche und private Fotos im Foto-Sharing-System von Theta360. Ebenfalls zugänglich waren der Name des Benutzers, der Username für die Registrierung auf der Plattform, der UUID (Universal Unique Identifier) jedes geposteten Fotos, die Beschriftung für jedes Foto und die Datenschutzeinstellungen.
Ein Kommentar von Jürgen Venhorst, Country Manager DACH bei Netwrix
Dieser Vorfall zeigt, dass Datenbanken und Fileserver einer genauen Überwachung bedürfen, da sie in der Regel sensible Informationen enthalten. Wenn das Unternehmen ein geeignetes Überwachungssystem eingerichtet hätte, hätten Unbefugte nicht von außen auf sensible Daten zugreifen können. Obwohl das Unternehmen auf den Vorfall umgehend reagiert hat, nachdem es von den Forschern benachrichtigt wurde, handelt es sich um eine schwere Datenschutzverletzung, die weitreichende Folgen für die Opfer haben könnte, wenn solche Daten in die Hände von Kriminellen fallen. Unter Berücksichtigung der DSGVO in Europa ist dies ein schwerwiegender Verstoß gegen den Datenschutz. In Deutschland wurden 81 DSGVO-Verletzungen festgestellt, die zu Geldbußen in Höhe von 485.490 Euro führten. Ob die zuständigen Behörden in Europa und insbesondere in Deutschland rechtzeitig über die Schwachstellen und den eventuellen Verstoß von Theta360 informiert wurden, bleibt unbekannt.
Datenzentrierte Sicherheitsmaßnahmen können jedoch Unternehmen dabei helfen, solche Vorfälle zu vermeiden. Darüber hinaus dienen sie dazu, sich an Compliance-Anforderungen zu halten. Transparenz und Sichtbarkeit von Netzwerk- und Sicherheitssystemen vor Ort oder in der Cloud ermöglichen es, sensible Informationen zu identifizieren und zu klassifizieren. Dadurch kann sich die Cybersicherheit auf wirklich wichtige und sensible Daten konzentrieren. Darüber hinaus werden Sicherheitsexperten dabei unterstützt, Bedrohungen rechtzeitig zu erkennen, um Datenschutzverletzungen zu vermeiden, das Risikopotenzial zu vermindern und vor allem die Einhaltung der DSGVO zu erreichen und nachzuweisen. Eine Lösung zur Datenklassifizierung und Zugriffskontrolle kann hier helfen, Daten vor unberechtigtem Zugriff zu schützen.
Für weiterführende Informationen besuchen Sie bitte www.netwrix.com
Fachartikel
LIVE WEBINAR: Verschlüsselter und einfacher Datentransfer per E-Mail oder Datenraum
Cybersecurity: Endlich Schluss mit dem Tool-Wahnsinn
SD-WAN: Warum DDI der Schlüssel zu effizientem Management ist
(Keine) Cyberrisiken (mehr) im erweiterten Zulieferer-Netzwerk
Wie Managed Service Provider (MSP) Daten vor Ransomware-Angriffen schützen sollten
Studien
Cybersicherheit: Unternehmen unterschätzen Risiken durch Partner und Lieferanten
IBM „Cost of a Data Breach“- Studie 2022: Verbraucher zahlen den Preis, da die Kosten für Datenschutzverletzungen ein Allzeithoch erreichen
Gestohlene Zugangsdaten sind im Dark Web günstiger als ein Döner
Jedes zweite Fertigungsunternehmen rechnet mit Zunahme von Cyberangriffen – bei weiterhin lückenhafter Cybersicherheit
Hybride Arbeitsmodelle: Firmware-Angriffe nehmen signifikant zu
Whitepaper
Q1 2022 Lage der IT-Sicherheit: 57 % aller Sicherheitsvorfälle gehen auf bekannte Netzwerkschwachstellen zurück
Ransomware-Vorfälle nehmen weiter zu
DDOS-Angriffe in Deutschland sinken, aber neue fokussiere Angriffstechniken werden weiterentwickelt
Alles über Threat Intelligence: Radware veröffentlicht Teil III des Hacker’s Almanac
