Bei BreachForums bietet Sanggiero für 8 Credits die persönlichen Daten von einer Million Nutzer von sphero an. Diese stellen Lernroboter her.
Der Roboterproduzent sphero hat ein ernstes Problem. Bei breachforums.is (bf), einem öffentlichen Hacker-Forum, bietet jemand die illegal kopierten Daten von einer Million Nutzer an. Sanggiero stellte bei sphero, einem Hersteller von Lernrobotern, eine schwerwiegende Datenpanne fest. Er konnte die Daten aufgrund einer Sicherheitslücke kopieren, die laut seiner Aussage nicht nur in der GraphQL-API, sondern auch in verschiedenen anderen Teilen des Systems vorhanden war.
Darüber hinaus war er dazu in der Lage, mehrere Sicherheitslücken in der Infrastruktur von Sphero zu identifizieren. Bei bf hat er für sich als Avatar Donald Trump in Gefängnisuniform ausgewählt
Vom sphero-Leak sind oftmals Minderjährige betroffen
Zumeist Minderjährige und ihre Eltern oder Lehrer, nutzen die Roboter, um den Kindern damit Wissen aus den Bereichen allgemeine Wissenschaft, Technologie, Ingenieurwesen und Mathematik näher zu bringen. Wie viele Personen genau von der Aktion des Hackers betroffen sind, hat er in seinem Thread nicht ausgeführt. Der für 8 Credits angebotene Quellcode umfasst immerhin über eine Million Zeilen und die gleiche Menge an Nutzern dieser Lernsysteme.
Neben den Konto-IDs enthält der Quellcode den Nutzernamen nebst den Vor- und Nachnamen, E-Mail-Adressen, Geburtstage, Historie der Mitgliedschaften, Profilbilder, Berufe, Titel und Biografien, die API-Schlüssel von Sphero und vieles mehr. Problematisch ist insbesondere die Tatsache, dass zahlreiche Kinder von der illegalen Verbreitung ihrer sensiblen Daten betroffen sind.
Weiterer Fehler aufgetaucht
Sanggiero konnte nach eigenen Angaben einen weiteren Bug im sphero-Backend identifizieren. „Nach einiger Zeit der Recherche ist es mir gelungen, eine weitere Schwachstelle zu identifizieren, die mir einen massive ATO (Account Takeover) ermöglicht“. Dies schrieb er bei BreachForums. Bisher hat er die neu erlangten Daten noch nicht öffentlich verbreitet.
Um sich Punkte bei breakforums.is zu beschaffen, muss man übrigens kein Geld investieren. Interessenten erlangen jeweils einen Punkt für die Erstellung eines neuen Threads oder das Schreiben von einem sinnvollen Posting mit mindestens 25 Zeichen. Damit wollen die neuen Betreiber offenkundig für mehr Aktivität in ihrem Forum sorgen.
Der Hack von sphero ist übrigens nicht der erste seiner Art. Unter der URL sanggiero.com erläutert der Täter, wie er in die unterschiedlichsten Systeme eindringen und diese übernehmen konnte.
