Erst vor wenigen Tagen wurde bekannt, dass der US-amerikanische Hersteller von Fitnessgeräten Peloton seine Laufbänder nach einer zum Teil tödlich verlaufenden Unfallserie mit Kleinkindern zurückruft. Neben den bereits zuvor in Verruf geratenen Laufbändern hat das Unternehmen nun jedoch noch mit einem weiteren Problem zu kämpfen: Wie die auf Cybersicherheit spezialisierte US-Webseite Threat Post berichtet, kam es aufgrund einer fehlerhaft konfigurierten API zu einem Datensicherheitsvorfall in Verbindung mit den Fitness-Bikes von Peloton, bei dem Kundendaten einsehbar waren.
Das Unternehmen reagierte erst viel zu spät auf die ihm zuvor gemeldete Sicherheitslücke, wie der Sicherheitsforscher von Pen Test Partners, Jan Masters, in einem Blog-Beitrag darlegt. Darin erläutert Masters zudem umfassend die zugrundeliegende Problematik und beschreibt die Sicherheitslücken anhand dreier Schwächen (Issues) der API.
Ben Sadeghipour, Head of Hacker Education bei Hackerone, hat diesen Vorfall nun zum Anlass genommen, um auf die Risiken in Verbindung mit fehlerhaft konfigurierten APIs hinzuweisen – seinen Kommentar finden Sie hier im Folgenden:
„Der Hauptgrund für dieses Problem ist die unsachgemäße Authentifizierung – oder Improper Authentication–, eine der von Hackern auf Hackerone meistgemeldeten Schwachstellen. In dieser Hinsicht konnten wir feststellen, dass der Betrag, den Unternehmen für die Meldung von Schwachstellen im Zusammenhang mit unsachgemäßer Authentifizierung zahlen, von Jahr zu Jahr um 36 Prozent zunimmt. Wenn sich Entwicklungszyklen beschleunigen, steigt unweigerlich auch die Wahrscheinlichkeit dafür, dass sich Schwachstellen in den Code einschleichen. Daher überrascht es kaum, dass bei der Geschwindigkeit moderner Softwareentwicklung Schwachstellen wie diese immer wieder auftreten. Bei einer unbekannten Domäne wie der in diesem Fall referenzierten, braucht es einen gegnerischen Ansatz mit einer angemessenen Untersuchung, um die Assets und das Risiko zu identifizieren, das sie für die Benutzer darstellen.
Bei ‚Issue 3‘ war der Hacker in der Lage, eine Backend-API, bzw. ein Backend-System, zu identifizieren, in dem die Schwachstelle zu finden war. Da diese Domäne Graphql nutzt, ist es nicht sehr schwer, auf ihr Schema zuzugreifen und es zu spezifizieren, sofern man über ein fundamentales Verständnis für Graphql verfügt – was bei vielen guten Hackern der Fall ist. Aber der Erfolg aller Prüfungen auf Sicherheitslücken hängt davon ab, dass auch Maßnahmen ergriffen werden, um die Schwachstellen zu schließen. Unternehmen können die beste Technologie und die besten Systeme zum Einsatz bringen, jedoch funktionieren diese nur so lannge, bis jemand darin einen Fehler entdeckt und diesen direkt ausnützt.
Deshalb ist es wichtig, dass die Sicherheitsteams der Unternehmen in der Lage sind, schnell und effektiv auf Meldungen von Schwachstellen und Sicherheitslücken zu reagieren, um zu verhindern, dass diese von böswilligen Akteuren ausgenutzt werden. Denn diese könnten die nächsten sein, die
Über Hackerone
Hackerone ist die Nr. 1 unter den hackergesteuerten Pentest- und Bug-Bounty-Plattformen. Hackerone hilft Unternehmen dabei, kritische Schwachstellen zu finden und zu beheben, bevor diese ausgenutzt werden können. Mehr Fortune-500-Unternehmen und Forbes Global 1000-Unternehmen vertrauen Hackerone als jeder anderen Hacker-basierten Sicherheitsalternative. Mit rund 2.000 Programmen bei den Kunden, darunter das US-Verteidigungsministerium, General Motors, Google, Goldman Sachs, PayPal, Hyatt, Twitter, GitHub, Nintendo, Lufthansa, Microsoft, MINDEF Singapur, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, hat Hackerone geholfen, mehr als 170.000 Schwachstellen zu finden und einer wachsenden Gemeinschaft von über 750.000 Hackern mehr als 100 Millionen Dollar an Bug-Bounties zu gewähren. Hackerone hat seinen Hauptsitz in San Francisco und unterhält Niederlassungen in London, New York, den Niederlanden, Frankreich und Singapur. Das Unternehmen wurde von Fast Company zu den 50 World’s Most Innovative Companies 2020 gewählt.
Firmenkontakt und Herausgeber der Meldung:
Hackerone
22 4th Street, 5th Floor
USACA 94103 San Francisco
Telefon: +49 (89) 80090-819
http://www.hackerone.com
Ansprechpartner:
Matthias Uhl
AxiCom GmbH
Telefon: +49 (89) 80090-819
E-Mail: matthias.uhl@axicom.com
AxiCom GmbH
Telefon: +49 (89) 80090-819
E-Mail: matthias.uhl@axicom.com
Weiterführende Links
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.
