statistics.-bib-hack-new.PNG

Am Freitag dem 14. Juni 2019 haben die Wiener Büchereien bekannt gegeben, Opfer eines Hackerangriffs geworden zu sein. Zuvor hatte ein Hacker am 10. Juni auf Twitter bekanntgegeben, Daten von 400 Tausend Menschen gestohlen zu haben. Kurz nach der Twitter Meldung wurde die betroffene Webseite aufgrund von Wartungsarbeiten vom Netz genommen.

Tweet von @NaHabedere an @WienCERT

Aus Frust über die fehlende Kommunikation seitens der Stadt Wien bzw. der Wiener Büchereien veröffentlichte der Hacker am 13. Juni 2019 die gestohlenen Daten auf Twitter.

Tweet von @NaHabedere an @buechereiwien

Wie auch viele andere luden wir den entsprechenden Datendump herunter und analysierten dessen Inhalt.

In den Daten befinden sich 713.677 eindeutige Nutzer (Duplikate wurden von uns entfernt und verschiedene historische Daten zusammengeführt). Für die meisten Nutzer befinden sich in den gestohlenen Daten:

  • Vorname / Nachname
  • Geburtsdatum = Passwort
  • Telefonnummer
  • Email
  • Vollständige Adresse
  • Eventuelle Vermerke, wie Mahnungen / Sperren

Obwohl eine große Datenmenge abgegriffen wurde, haben die Wiener Büchereien folgenden Absatz veröffentlicht:

"Eine missbräuchliche Verwendung anderer Internetanwendungen mit den Daten ist ausgeschlossen, da bei den Büchereien Wien kein benutzergeneriertes Passwort verwendet oder gespeichert wurde. Auch die missbräuchliche Verwendung des Büchereikontos ist aufgrund der Außerbetriebnahme des Onlinekatalogs nicht möglich"

Dieser Absatz kann von uns keineswegs nachvollzogen werden.

Die virtuelle Bücherei war am 17.06.2019 noch online und ein Login mit den gestohlenen Daten möglich. Zum Zeitpunkt der Veröffentlichung dieses Posts (18.06.2019) wurde die Seite allerdings deaktiviert. Bis zur Deaktivierung war es nach der erfolgreichen Authentifizierung möglich, neue Bücher auszuleihen und einzusehen, welche Bücher der Nutzer ausgeliehen hat.

Weiters können die Daten auch für Angriffe gegen andere Dienste genutzt werden, häufig werden bei einem manuellen Zurücksetzen eines Passworts eben solche Dinge wie Geburtsdatum und Adresse zur Verifikation verwendet.

Ergänzung: Die Entfernung der Duplikate erfolge aufgrund von Vorname, Nachname und Geburtsdatum.

Wie Offensity und A1 Digital helfen kann

Wir sind Experten auf unseren Gebieten und bieten neben unserem selbst entwickelten Offensity-Produkt zur kontinuierlichen Überwachung Ihrer externen Infrastruktur auch professionelle Dienstleistungen wie Social Engineering, Penetration Testing und mehr an. Du willst mehr darüber wissen? Kontaktiere ask.security@a1.digital oder besuche unsere Website unter https://a1.digital/ .

Folgt uns auf Twitter für zukünftige Updates!