Dell: 49 Millionen Kundendatensätze bei einem automatisierten Angriff offengelegt

„Wir haben versucht, Sie bezüglich der erweiterten Garantie Ihres Laptops zu erreichen.“

Vor ein paar Wochen berichtete Daily Dark Web über einen Hack bei Dell. Das Unternehmen berichtete, dass ein Bedrohungsakteur behauptete, eine Dell-Datenbank mit 49 Millionen Kundendatensätzen zu verkaufen. Diese Aufzeichnungen umfassten die Informationen zu Systemen, die zwischen 2017 und 2024 von Dell gekauft wurden, und die Daten enthielten viele Kundendetails – einschließlich Service-Tag-Nummern, Artikelnummern, Garantiedetails, Adressen, Telefonnummern und mehr. Dell bestätigte diesen Verstoß und warnte die Opfer um den 10. Mai 2024 herum.

Der erste Gedanke dabei war, dass wir eine massive Welle von Phishing, Smishing und Vishing erleben würden, die diese Daten als Köder verwenden. Dies steht uns zweifellos bevor (Oh, die Vorfreude!), doch dieser Autor machte sich mehr Sorgen darüber, wie die Daten tatsächlich exfiltriert worden waren. 

Die Einzelheiten des Verstoßes sind leider keine beruhigende Lektüre. Die Person, die die Daten abgegriffen hat, teilte mehrere Screenshots von E-Mails, die sie Dell bezüglich der Sicherheitslücke geschickt hatte und die nicht beantwortet wurden – dies wurde von Dell bestätigt. Das Scraping selbst wurde mittels Brute-Force-Angriff auf ein Online-Partnerportal durchgeführt. Der Bedrohungsakteur registrierte mehrere Konten auf dem Portal als Partner, und diese Konten wurden alle innerhalb von 48 Stunden genehmigt. Sobald diese Konten genehmigt waren, generierte er zufällige Service-Tags – das sind siebenstellige Zahlen und Konsonanten, es gibt also ein Muster, das für die Generierung verwendet wird. In diesem Bild sehen Sie ein Beispiel von der Dell Support-Website:

Das ist ein Screenshot einer Stichprobe der verletzten Daten. Sie sehen das Service-Tag in der linken Spalte der hier gezeigten Daten:

Das Dell Service-Tag ist wie eine Seriennummer und wird verwendet, um Kunden dabei zu helfen, Produktinformationen wie technische Spezifikationen, Dokumentation und Garantie zu verfolgen. Das Support-System von Dell identifiziert Treiber, Zubehör und kompatible interne Komponenten für Ihr Produkt mit Hilfe dieser Service-Tag-Kennung.

Das Partnerportal ermöglichte es jedem Partner, auf diese Informationen zuzugreifen, ohne dass geprüft wurde, ob der Partner auf die Informationen des jeweiligen Kunden überhaupt zugreifen durfte. Der Angreifer hat für die Dauer des Angriffs etwa 5000 Anfragen pro Minute an diese Seite gesendet. Das entspricht einem Brute-Force-Angriff über einen Zeitraum von etwa drei Wochen, bei dem über 50 Millionen Anfragen gesendet und etwa 49 Millionen Kundendatensätze erbeutet wurden. Der Angreifer schickte anschließend mehrere E-Mails an Dell, um auf die Sicherheitslücke aufmerksam zu machen. Ein Dell-Sprecher bestätigte, dass sie die Nachrichten erhalten hatten.  

Hier wird es undurchsichtig. TechCrunch berichtet, dass Dell die Benachrichtigung über die Sicherheitsverletzung an einige Kunden gesendet hat, deren Daten nicht Teil der Sicherheitslücke sind. Dell behauptet jedoch, dass sie bereits über den Vorfall informiert waren und „unsere Reaktionsverfahren umsetzten und Eindämmungsmaßnahmen ergriffen“. Irgendetwas stimmt hier nicht, aber eines ist sicher – wie wir häufig sehen, wird die Sicherheit nur in den Hintergrund gerückt. 

Unserer Ansicht nach wurde der Verstoß durch mindestens vier Probleme verursacht – eines davon ist ein Prozess und drei weitere sind technischer Natur. 

Das Problem des Prozesses ist, dass das Partnerkonto innerhalb von 24–48 Stunden ohne große Überprüfung erstellt wird. Das ist jedoch kein Problem, wenn die folgenden drei technischen Probleme behoben werden. 

Das erste technische Problem besteht darin, dass bei der Erstellung eines Partnerkontos keine verknüpfte Berechtigung oder Form der Autorisierung bereitgestellt wird, die es dem Partner erlaubt, nach bestimmten Service-Tags zu suchen und mit ihnen zu arbeiten. Dies ist besonders ungeheuerlich, da es sich bei den Daten nicht nur um Details der Hardware handelt, sondern unter anderem auch um die physische Adresse des Kunden. 

Das zweite Probelm ist der fehlende Schutz vor Automatisierung. 5000 Anfragen/Minute für 3 Wochen von einem Konto ohne Ratenbegrenzung. Selbst wenn 5 Konten verwendet werden, sind das 1000/Anfragen/Minute/Konto. 

Dies bringt uns zum dritten Problem – Magel an Transparenz sowie Warnungen. Die IT-Sicherheitsteams wurden nicht auf dieses offensichtliche Angriffsverhalten aufmerksam gemacht. Es gibt zwei potentielle Gründe dafür:

• Es gab keine Protokollierung und Warnmeldungen für die APIs hinter dem Portal.

• Diese Art des Datenzugriffs ist üblich und hat die Warnschwellen nicht überschritten. 

So wie es aussieht, verfügt diese Weboberfläche über eine API. In einem Forschungsbericht von Forrester hieß es vor einigen Jahren: „APIs sind das neue Schaufenster, aber die Sicherheit hat nicht Schritt gehalten.“ Erstens war für die Endpunkte keine Autorisierung aktiviert, so dass jeder die Daten und persönlichen Informationen eines jeden Kunden einsehen konnte. Außerdem war keine Ratenbegrenzung vorhanden, um den Server vor Überlastungen oder Datenexfiltration zu schützen. Es besteht eine sehr gute Chance, dass die Beschützer der App nicht wussten, dass dahinter eine API steckt, die geschützt werden sollte (Shadow API) – das wäre sowohl ein Prozessfehler als auch ein technischer Sicherheitsfehler. 

Es gab keine Sicherheitsvorkehrungen – weder prozessual noch technisch – gegen neue Konten, die eine so große Anzahl von Anfragen durchführten. Es gab keine Warnung (obwohl Dell etwas anderes behauptet), und dies ermöglichte es dem Angreifer, DREI WOCHEN MIT 5000 ANFRAGEN/MINUTE nicht lockerzulassen!@!@!@?! @!?!??! 

(Verzeihen Sie mir meine Empörung – es war ein langer Tag, und die ganze Tragweite dieser Sicherheitslücke wird mir erst jetzt bewusst, nachdem die Sicherheitslücken bei 23andMe und Roku bekannt geworden sind).

Barracuda kann helfen.

Der heutige Artikel wird gesponsert von ... Barracuda Application Protection! Barracuda Application Protection ist eine umfassende Webanwendungs- und API-Schutz-Plattform, die einfach zu bedienen und zu verwalten ist. In diesem Fall bietet sie die folgenden relevanten Schutzmaßnahmen:

• Die auf maschinellem Lernen basierende API-Erkennung verwendet Live-Verkehrsdaten, um API-Endpunkte (Schatten oder andere) zu identifizieren und schaltet dann automatisch den Schutz für die entdeckten API-Endpunkte ein.

• Erweiterte Ratenbegrenzung und Tarpits, die sowohl pro IP als auch pro Gerät funktionieren können. Die Einstellung pro Gerät ist sehr nützlich, wenn Ihre Clients hinter einer NAT sitzen und mehrere Geräte verwenden.

• Autorisierungsdurchsetzung bis hinunter zur Parameterebene, mit Integrationen mit JWT- und Client-Zertifikaten. Dazu gehört die Möglichkeit, VBAAC und ABAC zu erzwingen.

• Durch maschinelles Lernen unterstützter Schutz vor Kontoübernahmen mit mehreren Schutzebenen, einschließlich Credential Stuffing (für bekannte verletzte Konten) und Schutz vor privilegierten Konten (für Konten, die neu übernommen wurden).

• Ein durch maschinelles Lernen unterstützter erweiterter Bot-Schutz, der die fortschrittlichsten Bots, einschließlich Scraper, identifiziert und blockiert.

• Detaillierte Protokollierung und Warnmeldungen, einschließlich Integrationen mit SIEM/SOAR/XDR-Lösungen wie Azure Sentinel, Splunk, SumoLogic, Barracuda XDR und mehr.

Barracuda bietet umfassenden Anwendungsschutz und die branchenweit umfassendste Plattform für Cybersicherheit, die alle Angriffsvektoren mit Echtzeit-Bedrohungsdaten und Incident Response abwehrt. Besuchen Sie unsere Website, um zu erfahren, wie wir E-Mails, Netzwerke, Anwendungen und Daten schützen.