Sicherheitslücke bei MSI: Hunderttausende Kundendaten aus Garantiefällen offengelegt
Eine schwerwiegende Sicherheitslücke beim Hardware-Hersteller MSI erlaubte unberechtigten Personen, auf Kundendaten aus der Garantieabwicklung zuzugreifen. Die Daten waren dabei über Suchmaschinen öffentlich auffindbar und könnten sich als wahre Goldgrube für Betrüger herausstellen.
“Intranet“ mit Zugang über Suchmaschinen-Ergebnisse
Gamers Nexus berichtet von der Sicherheitslücke, nachdem ein Zuschauer die US-Publikation darauf aufmerksam machte. Ein vermeintliches Intranet des Herstellers war über das Internet auffindbar und konnte ohne jedwede Sicherheitsmaßnahmen abgerufen werden. Nicht einmal ein Login war erforderlich.
Schlimmer noch: Die eigentlich MSI-interne Seite wurde bei der Suche nach „MSI RMA Webserver“ auf der Suchmaschine DuckDuckGo an vierter Stelle der ersten Seite der Suchergebnisse gelistet. Über das System konnten Tickets aus der Garantieabwicklung von MSI abgerufen werden, die mindestens bis ins Jahr 2017 zurückreichen. Laut Gamers Nexus handelt es sich um weit über 600.000 Fälle, die sich nicht nur einsehen, sondern auch kinderleicht maschinell abrufen ließen.
Eine Goldgrube für Scammer
Auch wenn keine Daten von genutzten Kreditkarten oder andere Zahlungsdaten in dem System erfasst wurden, sind viele persönliche Daten von Kunden betroffen. Diese beinhalten unter anderem Namen, E-Mail Adressen, postalische Anschriften, Telefonnummern, Informationen über die gekauften Produkte und Kaufnachweise. All diese Daten konnten bequem per Mausklick als Excel-Tabellen exportiert und gespeichert werden. Ebenso war es über Schaltflächen der Oberfläche möglich, Sendungsverfolgungsdaten abzurufen.
Diese Informationen erlauben es Betrügern, sich als der Kundenservice auszugeben und potenzielle Opfer gezielt zu kontaktieren. Durch die Verwendung eigentlich privater Daten und und das damalige Anliegen als vermeintlich legitimen Anlass sind diese eher geneigt darauf hereinzufallen als bei unspezifischen Betrugsversuchen. Gamers Nexus nennt als Möglichkeiten hier zum Beispiel das Abfangen von Paketen mit (teil-)defekter Hardware oder gefälschte Upgrade-Angebote, in denen gegen Zahlung eines kleinen Aufpreises ein deutlich besseres Ersatzgerät versprochen wird.
Lücke nach Responsible Disclosure geschlossen
Zum Zeitpunkt der Veröffentlichung des Videos bestand die Lücke nicht mehr. Gamers Nexus hat sich im Rahmen eines Responsible Disclosure Verfahrens an MSI gewendet. Dem Hersteller wurde eine Frist eingeräumt, den Zugang zum kompromittierten RMA-System zu schließen, bevor die Öffentlichkeit über den Vorfall informiert wird. Dem ist MSI laut Gamers Nexus auch zügig nachgekommen.
Ob sich unter den Datensätzen auch Kunden aus Deutschland finden, oder das Problem nur die US-Sparte von MSI betrifft, wird aus dem Video nicht klar. Viele Garantieabwicklungen in Deutschland laufen über die Händler ab, bei denen das Produkt gekauft wurde. Es kommt bei bestimmten Produkten jedoch auch immer wieder zu RMA-Abwicklungen direkt zwischen Kunden und Herstellern.
Vielen Dank an den User ChrisM für den Hinweis zu dieser News!