Durch einen Datendiebstahl bei der beliebten Online-Shopping-Plattform Pandabuy sind die persönlichen Daten von über 1,3 Millionen Kunden durchgesickert.
Der Datendiebstahl trat am 31. März zutage, als ein Hacker unter dem Online-Namen „Sanggiero“ – angeblich mit Unterstützung von „IntelBroker“ – die gestohlenen Daten im berüchtigten Hackerforum BreachForums veröffentlichte.
IntelBroker wird mit erheblichen Datenschutzverletzungen in Verbindung gebracht, unter anderem bei General Electric, T-Mobile, Verizon, AT&T, US Citizenship and Immigration Services (USCIS) und Facebook Marketplace, was die Behauptung untermauert.
Pandabuy-Hacker nutzten kritische API-Schwachstellen aus
Die Bedrohungsakteure gaben an, sie hätten kritische Schwachstellen in der API der E-Commerce-Plattform ausgenutzt, um auf interne Systeme zuzugreifen: „Die Daten wurden gestohlen, indem mehrere kritische Schwachstellen in der API der Plattform ausgenutzt wurden. Außerdem wurden weitere Fehler identifiziert, die Zugriff auf den internen Dienst der Website ermöglichten.“
Sie behaupten außerdem, dass durch die Datenpanne über 3 Millionen Datensätze offengelegt wurden, die Benutzer-IDs, vollständige Namen, Telefonnummern, E-Mails, Privatadressen, Login-IPs, Bestelldaten und andere IDs enthielten.
Laut der Datenleck-Aggregationswebsite Have I Been Pwned (HIBP) wurden durch das Datenleck 1.348.407 legitime Pandabuy-Konten offengelegt. Der Rest waren Duplikate oder wurden absichtlich erstellt, um die Zahl aufzublähen.
Auch HIBP-Gründer und Microsoft-Regionaldirektor Troy Hunt bestätigte die Echtheit der durchgesickerten Kontodaten und konnte sie zu Pandabuy zurückverfolgen.
Er authentifizierte die durchgesickerten E-Mail-Adressen, indem er Passwort-Resets initiierte und Antworten für legitime Adressen erhielt. Mindestens ein Drittel (35 %) der durchgesickerten Daten befand sich in der Datenbank von HIBP, was darauf hindeutet, dass sie bereits an früheren Datendiebstählen beteiligt waren.
„Dank einer Kombination aus Enumerationsvektor und dem Vorhandensein von Mailinator-Adressen ist es sehr klar, dass die Benutzerdaten tatsächlich von Pandabuy stammen“, sagte Hunt Xed . „Erfundene E-Mail-Adressen werden als nicht existent bestätigt, während Adressen im Datenleck erfolgreich zurückgesetzte E-Mails erhalten.“
Gleichzeitig verlangen die Bedrohungsakteure eine „symbolische“ Zahlung in Kryptowährung für den Zugriff auf die kompromittierte Datenbank.
„Das ist ein klassischer Fall einer nicht authentifizierten API, oder die Angreifer haben eine Möglichkeit, gültige Token für jedes Konto zu generieren“, sagte Katie Paxton-Fear, API-Sicherheitsforscherin bei Traceable AI . „Die gute Nachricht ist, dass PandaBuy eine Option zum Ändern von Passwörtern per E-Mail bietet. Solange die Opfer ihre Passwörter nicht für andere Konten wiederverwenden und ihre E-Mail sicher ist, sollte also alles in Ordnung sein. Dieser Vorfall unterstreicht die Notwendigkeit strenger API-Sicherheitspraktiken und erinnert daran, für verschiedene Dienste eindeutige Passwörter zu verwenden.“
Pandabuy räumt Datendiebstahl nach Vertuschungsversuch ein
Einige Social-Media-Nutzer glauben, dass die chinesische Online-Shopping-Plattform versucht hat, den Datenverstoß zu vertuschen, indem sie Beiträge auf Discord und Reddit zensiert hat.
Darüber hinaus behauptete der Discord-Administrator von Pandabuy, dass die durchgesickerten Benutzerdaten veraltet seien und dass das technische Team der Online-Shopping-Plattform den Vorfall bereits behoben habe. Sie forderten die Benutzer des Pandabuy-Discord-Servers außerdem auf, keine Gerüchte mehr zu verbreiten und keine Panik zu verursachen.
„Als die Nachricht vom Pandabuy-Hack durchsickerte, war klar, dass es sich um einen massiven Hack handelte“, sagte Jason Kent, Hacker In Residence bei Cequence Security . „Am aufschlussreichsten ist, dass sie die Bestellnummern aller Bestellungen abrufen konnten. Aber lassen Sie mich ein wenig zurückgehen und erklären, wie solche Dinge passieren können, denn wir haben gesehen, dass sich das immer wieder wiederholt.“
Pandabuy entschuldigte sich jedoch schnell und räumte den Datenverstoß nach dem PR-Albtraum ein. Es behauptete, der Verstoß sei „durch eine Hackerorganisation verursacht worden, die illegale Technologie nutzte, um die Informationssicherheit der Plattform zu durchbrechen.“
Die Online-Shopping-Plattform wies außerdem darauf hin, dass bei dem Vorfall keine persönlichen oder finanziellen Informationen preisgegeben worden seien und das Unternehmen rechtliche Schritte eingeleitet habe, um das Hacker-Forum zur Löschung der gestohlenen Benutzerdaten zu zwingen screen time.
Darüber hinaus erklärte Pandabuy, dass es die ausgenutzten Schwachstellen behoben, seine Systeme auf alle möglichen Sicherheitsmängel geprüft und „die Überwachungs- und Schutzmechanismen für autorisierten Zugriff verstärkt“ habe. Außerdem riet das Unternehmen seinen Kunden, wachsam gegenüber Phishing-Angriffen zu bleiben, da das Personal des Unternehmens weder nach Kontoanmeldedaten noch nach vertraulichen Informationen fragt.
Und schließlich bot Pandabuy seinen Kunden einen Monat lang einen „Frachtzuschuss von 10 %“ an, eine „Geste des guten Willens“, die bei den Nutzern, wie die Anzahl der negativen Emoji-Reaktionen zeigt, auf wenig Gegenliebe stieß.