Der taiwanesische Netzwerkausrüstungshersteller D-Link hat eine Datenpanne bestätigt, die in Verbindung steht mit Informationen, die aus seinem Netzwerk gestohlen und früher diesen Monat auf BreachForums zum Verkauf angeboten wurden.
Der Angreifer behauptet, den Quellcode von D-Links D-View-Netzwerkmanagementsoftware gestohlen zu haben. Zusätzlich dazu Millionen von Einträgen mit persönlichen Informationen von Kunden und Mitarbeitern, einschließlich Details zum CEO des Unternehmens. Zu den angeblich gestohlenen Daten gehören Namen, E-Mails, Adressen, Telefonnummern, Registrierungsdaten der Konten und die letzten Anmeldedaten der Nutzer.
Der Bedrohungsakteur lieferte Proben von 45 gestohlenen Datensätzen mit Zeitstempeln zwischen 2012 und 2013, was einen anderen Teilnehmer im Thread dazu veranlasste, zu kommentieren, dass die Daten sehr alt aussehen.
„Ich habe das interne Netzwerk von D-Link in Taiwan angegriffen und verfüge über 3 Millionen Zeilen Kundeninformationen sowie den Quellcode von D-View, den ich aus dem System extrahiert habe“, sagte der Angreifer.
„Dazu gehören auch Informationen VIELER Regierungsbeamter in Taiwan sowie der CEOs und Mitarbeiter des Unternehmens.“
Die Daten stehen seit dem 1. Oktober auf dem Hacker-Forum zum Kauf zur Verfügung. Der Bedrohungsakteur fordert 500 Dollar für die gestohlenen Kundendaten und den angeblichen D-View-Quellcode.
D-Link gab an, dass die Sicherheitslücke durch einen Mitarbeiter verursacht wurde, der Opfer eines Phishing-Angriffs wurde und dem Angreifer so Zugang zum Firmennetzwerk gewährte.
In Reaktion auf den Vorfall schaltete das Unternehmen möglicherweise betroffene Server sofort ab und deaktivierte alle bis auf zwei Benutzerkonten, die während der Untersuchung verwendet wurden.
Obwohl D-Link den Vorfall bestätigte, gab das Unternehmen an, dass der Eindringling auf ein Produktregistrierungssystem in einer als „Testlaborumgebung“ bezeichneten Umgebung zugegriffen hat. Dieses basierte auf einem veralteten D-View 6 System, das 2015 sein Lebensende erreicht hat.
Es bleibt unklar, warum ein Server, der das Ende seiner Lebensdauer erreicht hat, immer noch im Netzwerk von D-Link in Betrieb war und möglicherweise sieben Jahre lang dem Internetzugriff ausgesetzt war.
Im Gegensatz zu den Behauptungen des Angreifers, Daten von Millionen von Nutzern gestohlen zu haben, erklärte D-Link, dass das kompromittierte System nur ungefähr 700 Datensätze enthielt.
„Basierend auf den Untersuchungen enthielt es jedoch nur etwa 700 veraltete und fragmentierte Datensätze, die seit mindestens sieben Jahren inaktiv waren“, sagte D-Link.
„Dabei handelte es sich um Datensätze aus einem Produktregistrierungssystem, das 2015 sein Lebensende erreicht hat. Darüber hinaus bestanden die meisten Daten aus wenig sensiblen und halböffentlichen Informationen.“
D-Link vermutet zudem, dass der Bedrohungsakteur absichtlich die letzten Anmeldezeitstempel manipuliert hat, um den Eindruck eines aktuelleren Datenklaus zu erwecken. Das Unternehmen gab zudem an, dass die meisten seiner bestehenden Kunden wahrscheinlich nicht von diesem Vorfall betroffen sind.