Thema: Immobilienscout24

[SiLæncer]

Das größte Online-Immobilienportal Deutschlands Immobilenscout24 ist nach Angaben des Betreibers Opfer eines Angriffs geworden. Bei "einem unbefugten Zugriff auf die Datensysteme" seien nach derzeitigem Kenntnisstand (Firmen-)Namen, Kontaktdaten sowie interne Registrierungsnummern von Anbietern durch Dritte kopiert worden. Laut einer Mitteilung soll es sich dabei jedoch nur um Daten handeln, die ohnehin "großteils in den Exposés der Website veröffentlicht sind".

Passwörter, Bank- und Zahlungsdaten sollen nicht betroffen sein. Dennoch rät Immobilienscout24 seinen Nutzern vorsorglich zu einem Passwortwechsel. Der unbefugte Zugriff erfolgte über das Internet. Weitere Angebote wie AutoScout24, ElectronicScout24, FinanceScout24, FriendScout24, JobScout24 und TravelScout24 sind nicht betroffen.

In der Vergangenheit wurde der Diebstahl derartiger Daten für personalisierte Spam-Mails verwendet. Eine vermeintliche Mail mit einer vorgeblichen Rechnung von Immobilienscout24 erzeugt bei Kunden vermutlich weniger Misstrauen als der Empfang anderer gefälschter Mails. Das Motiv ist jedoch immer das selbe: Die Infektion eines PCs mit einem Trojaner, etwa über ar als PDF getarnt, in Wirklichkeit handelt es sich aber um eine ausführbare Datei mit einem Trojaner.

Quelle : www.heise.de

[SiLæncer]

Das Portal immobilienscout24.de mit über 7 Millionen Besuchern und monatlich etwa 2 Milliarden Seitenaufrufen wies zahlreiche Sicherheitslücken auf. Unter Ausnutzung der Lücken konnten Cyberkriminelle Phishing betreiben, die Cookies der Besucher auslesen, bestehende Vertragsdaten ändern und vieles mehr. Die Lücken wurden von den Betreibern mittlerweile alle geschlossen.

Insgesamt waren auf dem populären Portal immobilienscout24.de vier teils kritische Lücken vorhanden. Zwei XSS-Fehler, ein cookieabhängiger stored-XSS Bug und ein CSRF, bei dem Token zwar vorhanden waren, aber nicht korrekt überprüft wurden. Ein XSS war bei den Immobilienanbietern, einer bei der Suchfunktion aktiv. Unter Anwendung der Lücken konnte man sich nach der Entwendung der Cookies Dritter unter dem Namen der User anmelden. Nach erfolgter Anmeldung konnte man unter anderem die persönlichen Angaben und Vertragsdaten der Nutzer einsehen und nachträglich verändern. Auch hätten Cyberkriminelle über die Domain Phishing betreiben können.

Firmensprecher Ergin Iyilikci von der Berliner Immobilien Scout GmbH reagierte zeitnah und sorgte für eine schnelle Behebung aller Lücken. Beim CSRF mussten wir die mögliche Ausnutzung der Schwachstelle zunächst mit Hilfe eines Beweisvideos demonstrieren, weil die Technik unseren Hinweis anfangs nicht nachvollziehen konnte. Gestern Nachmittag wurde auch die letzte Lücke behoben; die Daten der über sieben Millionen Nutzer sind nun wieder sicher. Bislang ist unklar, ob die Bugs von Hackern ausgenutzt wurden. Der letzte Hack wurde im Dezember 2011 bekannt, als Unbekannte Zugriff auf das Web-Portal erlangen konnten. Der sächsische Datenschützer Mathias Ungethuem, der unter unnex.de Penetrationstests anbietet, fand die vier aktuellen Bugs.

Quelle : www.gulli.com

[SiLæncer]

Derzeit sind zahlreiche Virenmails in Umlauf, die als Rechnungen der Immobilienbörse ImmobilienScout24 getarnt sind. Heise Security liegen mehrere Varianten vor. Die Betreffzeile variiert und enhält zumeist eine offenbar zufällige Rechnungsnummer. Auch die Absenderadresse wird offenbar stets neu generiert, endet aber immer auf @immobilienscout24.de. Der Mailtext lautet:

Sehr geehrte Kundin,

Sie finden die Rechnung in der PDF-Datei im Anhang

Mit freundlichen GrГјГџen
Ihr ImmobilienScout24 Team
____________________________
Hinweis: Dies ist eine automatische E-Mail. Bitte schicken Sie keine Nachrichten an diesen Absender.

Immobilien Scout GmbH
HRB 77017

Allein Varianten gemein ist ein rund 10 KByte großer Anhang namens 150113000001.pdf, der eine bereits 2010 geschlossene Schwachstelle im Adobe Reader auszunutzen versucht. Wenn dies gelingt, sorgt der eingeschleuste Shellcode dafür, dass auf kompromittierten Webservern deponierter Schadcode nachgeladen wird.

Die verseuchte PDF-Datei wird derzeit von keiner der von VirusTotal genutzten AV-Engines erkannt. Dabei muss man allerdings beachten, dass VirusTotal die dort hochgeladenen Dateien nur mit den On-Demand-Scannern der Virenschutzprodukte untersucht.

Generell ist bei per Mail zugestellten Rechnungen, deren Zustandekommen man sich nicht erklären kann, große Vorsicht geboten. Die aktuelle ImmobilienScout24-Kampagne ist nur ein Beispiel von vielen. Genauso werden die Namen anderer Unternehmen missbraucht. Wenn man überprüfen will, ob eine PDF-Datei mit Schadcode gespickt ist, kann man sie etwa in der Online-Sandbox Wepawet ausführen.

Quelle : www.heise.de