News Sicherheitslücke bei MSI: Hunderttausende Kunden­daten aus Garantie­fällen offen­gelegt

[Hurricane.de]

Eine schwerwiegende Sicherheitslücke beim Hardware-Hersteller MSI erlaubte unberechtigten Personen, auf Kundendaten aus der Garantieabwicklung zuzugreifen. Die Daten waren dabei über Suchmaschinen öffentlich auffindbar und könnten sich als wahre Goldgrube für Betrüger herausstellen.

Zur News: Sicherheitslücke bei MSI: Hunderttausende Kunden­daten aus Garantie­fällen offen­gelegt

 

[Ganjaware]

MSI verkauft auch Router für rund 250 Euro, also wären eigentlich vom "Fach".

 

[Hatsune_Miku]

Wenn ich sowas immer wieder lese, weiss ich warum ich ein freund davon bin so wenig wie möglich dienste/Accounts im Netz zu haben, weil je mehr accounts rumgeistern, desto größer ist das Risiko eines Leaks.
Ich habe zum Glück keine MSI Produkte

 

[s1ave77]

Garantieabwicklung

OK. Ohne diese keine Daten. Mittelschlimm (für mich).

 

[jonathansmith]

Ich frage mich, was da alles schief laufen muss, damit das überhaupt passieren kann.

Netzwerk so konfiguriert, dass eine intranet-Subdomain von außen ohne VPN zugänglich ist UND kein Login/SSO aktiv damit der Zugang nur für befugte Mitarbeiter möglich ist.

Ziemlich unglaublich.

 

[MaverickM]

Ich möchte hier nochmals darauf hinweisen, dass auch Zotac hier letztens Mist gebaut hat, aber im Gegensatz zu MSI immerhin dann deutlich schneller reagiert hat. Trotzdem ist jedem Zotac Kunden, der schon einmal einen Garantiefall angestoßen hat, dieses Video angeraten:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[paganini]

Ich hoffe MSI bekommt eine Mrd Strafe und hat noch Jahre an den Zahlungen zu schaffen. Ich hoffe auch stark das die Verantwortlichen ihre Posten los sind und sie sich vor Gericht erst einm erklären müssen. So etwas geht einfach nicht

 

[s1ave77]

auch Zotac

Sicherheit ist hier halt eine Illusion .

*hust: https://www.golem.de/news/spyware-apple-warnt-iphone-nutzer-in-98-laendern-2407-186977.html

 

[iPat1337]

Oh man, jede Woche so eine Meldung

 

[Zer0DEV]

@Ganjaware Router verkaufen ist was anderes als Router absichern! MSI produziert, wie alle anderen auch, Massenware die beim ersten Start und/oder bei der Ersteinrichtung von jetzt auf gleich einfach nur funktionieren soll.

Auch hier sieht man mal wieder, dass es absolut sinnlos ist irgendwelche Zertifikate für BSI Grundschutz oder ISO27001 zu haben. Auch wenn MSI keine Zertifizierung durchlaufen haben sollte.

Tech-Firmen sind auf Compliance ausgelegt und nicht auf Security!

 

[SilverShadow]

Wie lange dauert es eigentlich noch bis es endlich horrende Strafen für Sicherheitslecks gibt (wie bei GDPR bspw.)? Oder habe ich da etwas verpasst?

 

[1Striker1]

Daten sind das neue Gold

 

[-=[CrysiS]=-]

omg.
...

 

[gustlegga]

@Hurricane.de
Weiß Steve davon dass ihr das nicht mal 24 Stunden alte Video von YT gezogen und auf euren eigenen Server gelegt habt, womit ihm Klicks und Werbeeinnahmen entgehen ?
EDIT: Hat sich erledigt. Wurde im Artikel geändert. 👍


@ Topic.
Na dann bin ich ja fast froh, dass die beiden Maonboards die ich in den letzten 25 Jahren von MSI hatte nie ein RMA Fall waren....

 

[tomgit]

MSI verkauft auch Router für rund 250 Euro, also wären eigentlich vom "Fach".

Und so wie die Vergleiche in den Kommentaren regelmäßig hinken, könnte Computerbase ein Sanitätshaus sein

@Topic: Eigentlich wirklich absurd, erst Zotac, nun MSI. Da kann man ja fast froh sein, dass ASUS‘ Garantieabwicklung selbst „nur“ mies ist und nicht auch noch die Daten öffentlich zugänglich online stellt.
Warum sind RNA und Intranet nicht zumindest hinter einer robots.txt versteckt; warum ist eine Intranet-Seite überhaupt ohne Authentifizierung zugänglich?

 

[Zer0DEV]

@tomgit Die robots.txt kann man in die Tonne kloppen, die wird regelmäßig von allem und jedem ignoriert!
Und eine Seite des Intranet hat überhaupt nicht aus dem Internet erreichbar zu sein.

Ein über das Internet erreichbares Intranet ist per Definition kein Intranet!

 

[Relak]

Warum hab ich bei solchen Meldungen immer Bill Murray vor Augen der seinen Wecker erschlägt??? i got you babe!

Seine Daten für sich zu behalten ist mittlerweile echt eine Herkulesaufgabe. Heute die eine Firma, Morgen die nächste. Meine Daten sind zum Glück nicht mehr Wert als die der meisten Menschen. Ich versuche möglichst wenig Daten rauszurücken, aber letztlich bist du doch einfach nur Machtlos gegen diese Art von Inkompetenz. Mir bleibt traurigerweise nur noch zu hoffen dass es mich einfach nicht erwischt wenn mit den Daten Scheisse gebaut wird.

 

[Özil]

zum Glück kauf ich nur Asus

 

[tomgit]

@Zer0DEV Stimme dir bei ersterem zu, jedoch sollten die Inhalte nicht über eine einfache Google-Suche gefunden werden können. Dass andere Crawler das finden könnten, ist mir auch klar.
Bei letzterem stimme ich dir nur halb zu. Gibt aber auch Wege, da den Zugang abzusichern.

Asus

Service so schlecht, dass man keine Angst haben muss, dass die RMA-Kommunikation leaken könnte, weil man es eh meidet?

 

[Stanzlinger]

Ich hoffe MSI bekommt eine Mrd Strafe und hat noch Jahre an den Zahlungen zu schaffen. Ich hoffe auch stark das die Verantwortlichen ihre Posten los sind und sie sich vor Gericht erst einm erklären müssen. So etwas geht einfach nicht

Der Scammer weiß dann, du du eine kaputte Grafikkarte hattest