Sphero: Hacker Sanggiero stiehlt Daten von 1 Million Nutzern

Ein Hacker namens Sanggiero hat bei breachforums.is persönliche Daten von einer Million Nutzern des Lernroboterherstellers Sphero zum Verkauf angeboten. Sanggiero entdeckte eine schwerwiegende Sicherheitslücke in verschiedenen Teilen des Systems von Sphero die es ihm ermöglichte die Daten zu kopieren. Neben der GraphQL-API identifizierte er ebenfalls weitere Sicherheitslücken in der Infrastruktur von Sphero. Bei breachforums.is präsentierte er sich als Donald Trump in Gefängnisuniform.



Besonders besorgniserregend ist, dass viele der betroffenen Nutzer Minderjährige sind. Sphero-Roboter werden oft von Eltern oder Lehrern verwendet um Kindern Wissen aus den Bereichen Wissenschaft Technologie Ingenieurwesen und Mathematik zu vermitteln. Es ist nicht bekannt; ebenso wie viele Personen ebendies von dem Hackerangriff betroffen sind. Der angebotene Quellcode umfasst über eine Million Zeilen und entspricht der Anzahl der Nutzer des Lernsystems.



Die gestohlenen Daten enthalten neben den Konto-IDs auch den Nutzernamen, Vor- und Nachnamen, E-Mail-Adressen, Geburtstage, Mitgliedschaftshistorie, Profilbilder, Berufe, Titel, Biografien und die API-Schlüssel von Sphero. Besonders problematisch ist; dass viele minderjährige Kinder von der illegalen Verbreitung ihrer sensiblen Daten betroffen sind.



Sanggiero gab bekannt, dass er einen weiteren Fehler im Backend von Sphero entdeckt hat der es ihm ermöglicht, Konten zu übernehmen. Bisher hat er diese neuen Daten noch nicht öffentlich weitergegeben.



Interessanterweise können Nutzer auf breachforums.is Punkte verdienen, ohne Geld investieren zu müssen. Für das Erstellen eines neuen Threads oder das Verfassen eines sinnvollen Beitrags mit mindestens 25 Zeichen erhält man je einen Punkt. Damit wollen die Betreiber des Forums klar für weiterhin Aktivität sorgen.



Der Hack von Sphero ist nicht der erste seiner Art. Auf der Website sanggiero.com erklärt der Hacker wie er in verschiedene Systeme eindringen und sie übernehmen konnte.






Kommentare


Anzeige