Die National Safety Council hat fast 10.000 E-Mails und Passwörter ihrer Mitglieder geleakt und dabei 2.000 Unternehmen, einschließlich staatlicher Organisationen und großer Konzerne, bloßgestellt.
Die National Safety Council (NSC) ist eine gemeinnützige Organisation in den USA, die Schulungen zur Arbeitssicherheit und Fahrsicherheit anbietet. Auf ihrer digitalen Plattform stellt die NSC Online-Ressourcen für fast 55.000 Mitglieder aus verschiedenen Unternehmen, Behörden und Bildungseinrichtungen zur Verfügung.
Jedoch war die Website der Organisation fünf Monate lang anfällig für Cyberangriffe. Ein Forschungsteam entdeckte öffentlichen Zugang zu den Webverzeichnissen, die Tausende von Zugangsdaten freigelegt haben.
Unter einer langen Liste geleakter Zugangsdaten befanden sich Mitarbeiter von rund 2.000 Unternehmen und staatlichen Einrichtungen, darunter:
Energiekonzerne: Shell, BP, Exxon, Chevron
Elektronikhersteller: Siemens, Intel, HP, Dell, IBM, AMD
Luft- und Raumfahrtunternehmen: Boeing, Federal Aviation Administration (FAA)
Pharmazeutische Unternehmen: Pfizer, Eli Lilly
Automobilhersteller: Ford, Toyota, Volkswagen, General Motors, Rolls Royce, Tesla
Internetdienstanbieter: Verizon, Cingular, Vodafone, ATT, Sprint, Comcast
Andere: Amazon, Home Depot, Honeywell, Coca Cola, UPS
Diese Unternehmen hatten wahrscheinlich Konten auf der Plattform, um Schulungsmaterialien abzurufen oder an von der NSC organisierten Veranstaltungen teilzunehmen.
Die Schwachstelle stellte nicht nur eine Gefahr für die NSC-Systeme dar, sondern auch für die Unternehmen, die NSC-Dienste nutzen. Geleakte Zugangsdaten könnten für Angriffe wie Credential Stuffing verwendet werden, bei denen versucht wird, sich in internetbasierte Tools von Unternehmen einzuloggen, wie VPN-Portale, HR-Management-Plattformen oder Unternehmens-E-Mails.
Die geleakten Zugangsdaten könnten auch dazu verwendet werden, einen initialen Zugang zu Unternehmensnetzwerken zu erhalten, um Ransomware zu implementieren, interne Dokumente zu stehlen oder zu sabotieren oder auf Benutzerdaten zuzugreifen.
Öffentlicher Zugang zu Webverzeichnissen
Die Schwachstelle wurde am 7. März entdeckt. Sie gab öffentlichen Zugriff auf die Webverzeichnisse frei, was einem Angreifer ermöglichte, auf die für den Betrieb des Webservers wichtigen Dateien zuzugreifen. Unter den zugänglichen Dateien fanden die Forscher auch eine Sicherungskopie einer Datenbank, die Benutzer-E-Mails und gehashte Passwörter speicherte. Die Daten waren fünf Monate lang öffentlich zugänglich, da die Leckage am 31. Januar 2023 erstmals von IoT-Suchmaschinen indiziert wurde.
Insgesamt speicherte die Sicherungskopie rund 9.500 eindeutige Konten und deren Zugangsdaten, mit fast 2.000 verschiedenen Unternehmens-E-Mail-Domains, die zu Unternehmen in verschiedenen Branchen gehörten.
Die Tatsache, dass eine Entwicklungsumgebung öffentlich zugänglich war, zeigt mangelnde Entwicklungspraktiken. Solche Umgebungen sollten getrennt von der Produktionsumgebung gehostet werden, keine tatsächlichen Benutzerdaten speichern und natürlich nicht öffentlich zugänglich sein.
Da eine große Anzahl von E-Mails geleakt wurde, könnten Plattformnutzer möglicherweise vermehrt Spam- und Phishing-E-Mails erhalten. Es wird empfohlen, die in E-Mails enthaltenen Informationen extern zu überprüfen und Vorsicht walten zu lassen, wenn Links angeklickt oder Anhänge geöffnet werden.
Knackbare Passwörter
Die offengelegten Passwörter wurden mit dem sicheren SHA-512-Algorithmus gehasht. Es wurde auch eine zusätzliche Sicherheitsstufe verwendet – Salts. Die Salts wurden jedoch zusammen mit den Passworthashes gespeichert und nur mit Base64 codiert. Dies erleichterte es potenziellen Angreifern, die Klartextversion des Salzes abzurufen und den Passwortknackprozess zu vereinfachen.
Es könnte bis zu 6 Stunden dauern, um ein einzelnes Passwort in der Datenbank zu knacken, abhängig von der Passwortstärke und der Liste zuvor geleakter Passwörter oder Wortkombinationen, die vom Angreifer verwendet wurden.
Das bedeutet nicht zwangsläufig, dass jedes Passwort in der gefundenen Datenbank geknackt werden könnte, aber es ist wahrscheinlich, dass ein erheblicher Teil davon geknackt werden könnte. Forschungen deuten darauf hin, dass es relativ häufig ist, etwa 80% der Hashes in solchen Datendumps erfolgreich zu knacken.
Aus diesem Grund empfehlen wir Benutzern, die Konten bei NSC hatten, ihre Passwörter sowohl auf der nsc.org-Website als auch auf anderen Konten, auf denen sie dasselbe Passwort verwendet haben, zu ändern.