Anzeige

Schwachstelle

Bei dem US-amerikanische Hersteller von Fitnessgeräten Peloton ist es aufgrund einer fehlerhaft konfigurierten API zu einem Datensicherheitsvorfall gekommen. Ein Kommentar von Ben Sadeghipour, Head of Hacker Education bei Hackerone.

Erst vor wenigen Tagen wurde bekannt, dass der US-amerikanische Hersteller von Fitnessgeräten Peloton seine Laufbänder nach einer zum Teil tödlich verlaufenden Unfallserie mit Kleinkindern zurückruft. Neben den bereits zuvor in Verruf geratenen Laufbändern hat das Unternehmen nun jedoch noch mit einem weiteren Problem zu kämpfen: Wie die auf Cybersicherheit spezialisierte US-Webseite Threat Post berichtet, kam es aufgrund einer fehlerhaft konfigurierten API zu einem Datensicherheitsvorfall in Verbindung mit den Fitness-Bikes von Peloton, bei dem Kundendaten einsehbar waren.

Das Unternehmen reagierte erst viel zu spät auf die ihm zuvor gemeldete Sicherheitslücke, wie der Sicherheitsforscher von Pen Test Partners, Jan Masters, in einem Blog-Beitrag darlegt. Darin erläutert Masters zudem umfassend die zugrundeliegende Problematik und beschreibt die Sicherheitslücken anhand dreier Schwächen (Issues) der API.

Ben Sadeghipour, Head of Hacker Education bei Hackerone, hat diesen Vorfall nun zum Anlass genommen, um auf die Risiken in Verbindung mit fehlerhaft konfigurierten APIs hinzuweise:

„Der Hauptgrund für dieses Problem ist die unsachgemäße Authentifizierung – oder Improper Authentication–, eine der von Hackern auf Hackerone meistgemeldeten Schwachstellen. In dieser Hinsicht konnten wir feststellen, dass der Betrag, den Unternehmen für die Meldung von Schwachstellen im Zusammenhang mit unsachgemäßer Authentifizierung zahlen, von Jahr zu Jahr um 36 Prozent zunimmt. Wenn sich Entwicklungszyklen beschleunigen, steigt unweigerlich auch die Wahrscheinlichkeit dafür, dass sich Schwachstellen in den Code einschleichen. Daher überrascht es kaum, dass bei der Geschwindigkeit moderner Softwareentwicklung Schwachstellen wie diese immer wieder auftreten. Bei einer unbekannten Domäne wie der in diesem Fall referenzierten, braucht es einen gegnerischen Ansatz mit einer angemessenen Untersuchung, um die Assets und das Risiko zu identifizieren, das sie für die Benutzer darstellen.

Bei ‚Issue 3‘ war der Hacker in der Lage, eine Backend-API, bzw. ein Backend-System, zu identifizieren, in dem die Schwachstelle zu finden war. Da diese Domäne Graphql nutzt, ist es nicht sehr schwer, auf ihr Schema zuzugreifen und es zu spezifizieren, sofern man über ein fundamentales Verständnis für Graphql verfügt – was bei vielen guten Hackern der Fall ist. Aber der Erfolg aller Prüfungen auf Sicherheitslücken hängt davon ab, dass auch Maßnahmen ergriffen werden, um die Schwachstellen zu schließen. Unternehmen können die beste Technologie und die besten Systeme zum Einsatz bringen, jedoch funktionieren diese nur so lannge, bis jemand darin einen Fehler entdeckt und diesen direkt ausnützt.

Deshalb ist es wichtig, dass die Sicherheitsteams der Unternehmen in der Lage sind, schnell und effektiv auf Meldungen von Schwachstellen und Sicherheitslücken zu reagieren, um zu verhindern, dass diese von böswilligen Akteuren ausgenutzt werden. Denn diese könnten die nächsten sein, die das Problem ebenfalls erkennen. Eine Richtlinie zur Offenlegung von Schwachstellen ist ein wichtiger und weithin akzeptierter Ansatz, um sicherzustellen, dass gefundene Sicherheitslücken in die richtigen Hände gelangen und auch behoben werden.“

Ben Sadeghipour, Hacker and Hacker Operations Lead
Ben Sadeghipour
Hacker and Hacker Operations Lead, HackerOne

Weitere Artikel

Cyber Security

5 Schritte um Ihre IT-Sicherheit zu stärken

Fast neun von zehn Unternehmen (88 Prozent) wurden laut einer Bitkom-Umfrage in den Jahren 2020/2021 Opfer von Cyberangriffen. Starke IT-Sicherheitsvorkehrungen müssen damit für Unternehmen Priorität haben, um sich und ihre Anwendungen vor Bedrohungen zu…
Supply Chain

Es braucht keine Katastrophe, um die Lieferkette zu unterbrechen

Noch bis vor wenigen Jahren war die Sicherheit von Lieferketten für die meisten von uns nicht unbedingt ein Thema, über das wir regelmäßig nachdenken mussten. Es genügt festzustellen, dass sie seither deutlich häufiger in den Schlagzeilen zu finden ist - und…
Cyber Security

Was steht der Cybersicherheit im Jahr 2022 bevor?

2021 war ein Jahr, in dem sich die Ereignisse überschlugen. Die Pandemie führte zu mehr Spaltung, mehr Isolation und einem allgemeinen Unsicherheitsgefühl in vielen Lebensbereichen. In der Cybersicherheit gab es einen starken Anstieg der Zahl der…
Security

Der 10-Punkte-Plan für den Cyber-Ernstfall

Ein Incident-Response-Plan kann Unternehmen helfen, bei einer Cyberattacke die Kontrolle über die Situation zu bewahren. Sophos Labs sowie die Sophos Managed-Response- und Rapid-Response-Teams haben hierfür einen Ratgeber mit zehn entscheidenden Schritten…
Cyber Security

Start-ups & Security: Risiken und Gefahren zum Website Launch

Wer heutzutage ein Start-up gründet, hat zunächst alle Hände voll zu tun. Was dabei allerdings gerne vergessen wird, ist das Thema Sicherheit im Zusammenhang mit der eigenen Website. Und das kann fatale Folgen haben.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.