News Sicherheitslücke bei MSI: Hunderttausende Kunden­daten aus Garantie­fällen offen­gelegt

[Ranayna]

Stimme dir bei ersterem zu, jedoch sollten die Inhalte nicht über eine einfache Google-Suche gefunden werden können.

Ist etliche Jahre her: Ich habe mal hinsichtlich einer Fehlermeldung im Log eines Cisco IP Telefones recherchiert.
Wie es halt so ueblich ist, kopiere ich Fehlermeldungen ueber die ich Infos suche anonymisiert (Also MACs, Hostnamen und IP Adressen werden ggf. entfernt) erstmal in Google.
Ich hatte die Hoffnung ein paar Cisco Community Posts zu finden, aber ich fand hunderte Cisco Telefone deren Webinterfaces frei zugaenglich waren
Immerhin eine information disclosure Luecke, ohne Zugangsdaten kann man nur schauen, nicht anfassen (Von Sicherheitsluecken mal abgesehen - die es gibt), aber das fand ich schon sehr ueberraschend.

Aehnliches hatte ich auch mal bei Druckern, da ging es aber ein bisschen weiter und ich haette auch Dokumente die im Speicher waren lesen koennen, und einer erlaube glaube ich auch ueber das Webinterface zu drucken...

Und das waren beides Google-Suchen....

 

[Tiimati]

So kann man auch verhindern das Kunden Garantiefälle melden und stattdessen neue Ware kaufen...

 

[Goodplayer]

MSI fällt ja nicht zum ersten Mal auf:

Ransomware: Hacker erbeuten Bios-Code und -Werkzeuge von MSI
12. April 2023

Eine Ransomware-Gruppe hat wohl interne Daten von MSI erbeutet. Damit könnten Bios-Rootkits samt Signatur erstellt werden.

https://www.golem.de/news/ransomwar...s-code-und-werkzeuge-von-msi-2304-173359.html

Firmware- und Bootguard-Schlüssel von MSI veröffentlicht
8. Mai 2023

Eine Ransomwaregruppe hat nach einem Hack etliche interne Daten von MSI veröffentlicht. Darunter auch private Schlüssel zum Signieren.

https://www.golem.de/news/datenleck...ssel-von-msi-veroeffentlicht-2305-173996.html

 

[MaverickM]

Ich sehe da aber erstmal nichts, was du bräuchtest, um meine Identität zu übernehmen. Das brauch meinen Ausweis, Kredit/Debit-Karte oder einen meiner Accounts.

Oh sweet summer child...

Wenn Du wüsstest, wie wenig Informationen manche Unternehmen wollen, um dich zu "authentifizieren", würde dir u.U. schlecht werden. Es braucht nicht viel Informationen, um dich übers Ohr zu hauen, oder dir finanziellen Schaden zuzufügen.

Was wäre die Alternative? ASUS ja wohl kaum, bei deren "Qualität".

Über die Produktqualität bei ASUS kann ich absolut nicht meckern. Wie oben schon gesagt: Deswegen kaufe ich auch weiter ASUS, obwohl ich deren RMA Horror kenne...

Biostar, Chaintech, Elitegroup die zu Pentium/Athlon Zeiten teilweise recht anständige Bretter gebaut haben gibts ja entweder nicht mehr oder nur noch im OEM.

Biostar gibt es weiterhin und kannst Du bei uns auch überall kaufen. Ist halt Billigkram.

Passwörter sind eh nicht wirklich sicher, daher 2FA. Am besten passiv wie TOTP.

Das ist einfach nicht richtig. Ein Passwort ist immer nur so sicher, wie Du es gewählt hast (Bzw. der Anbieter zulässt). Und 2FA ist keine Sicherheitsmaßnahme, sondern eigentlich nur ein Failsafe für den Fall, dass sowohl Zugangsdaten als auch Passwort geleakt wurden/bekannt sind.

Es kann jederzeit passieren, dass jemand versucht, meine 'Person' zu übernehmen. Da reicht manchmal das Telefonbuch und nebenbei die IBAN 'abgegriffen'. Das geht eine Weile, um mich allerdings komplett und ohne dass ich zweifelsfrei beweisen kann, ich bin ich und nicht er, zu übernehmen, braucht es einiges mehr.

Zu viel Das Netz geguckt?

Es reicht ja schon, wenn jemand die Daten für Einkäufe auf deinen Namen missbraucht, oder damit irgendwelche Verträge abschließt. Das ist erst einmal jede Menge Ärger und kann auch Jahre danach, dank Schufa und Co., noch für Ärger sorgen.

Und solche Daten werden dann eher über das Portal direkt eingeben, nicht per Mail-Anhang 'erbeten'.

Genügend Firmen regeln die RMA Abwicklung auch via E-Mail. Ist nicht die schlechteste Variante. Und wie man an Zotac sieht (Video habe ich ja weiter vorne gepostet), bringt es auch nix, wenn der Hersteller zwar ein Portal hat, die Daten dann darüber aber öffentlich einsehbar und via Google indiziert werden...

 

[s1ave77]

Oh sweet summer child...

Klar, geht immernoch per Telefonbuch. Da stehen viele drin, halt vergessen bei Vertragsabschluß abzulehnen, als gefragt wurde.

Ich kann immernoch beweisen, ich bin ich™.

Ist immer ärgerlich, ändert nix.

Das ist einfach nicht richtig. Ein Passwort ist immer nur so sicher, wie Du es gewählt hast (Bzw. der Anbieter zulässt). Und 2FA ist keine Sicherheitsmaßnahme, sondern eigentlich nur ein Failsafe für den Fall, dass sowohl Zugangsdaten als auch Passwort geleakt wurden/bekannt sind.

Aha. Dann zeige mir, wie du dich bei Paypal als ich™ einloggst. Du bekommst dafür meine LogIn-Creds und das Telefon.

Ohne die OTP-App, die extra nochmal meinen Finger, meine Hackfresse oder das Passwort (unikat) verlangt, will ich das sehen.

Ist rhetorisch . Zeigen geht auch in der Theorie, in diesem Fall.

 

[gustlegga]

Biostar gibt es weiterhin und kannst Du bei uns auch überall kaufen. Ist halt Billigkram.

Ahja, stimmt.
Da hab ich bei AM4(?) mal was mitbekommen.
Zu Slot-A Athlon Zeiten hatte ein Cousin eines mit einem Athlon 500.
War wohl damals auch eines der besseren Mainboards.
Zumindest war er recht zufrieden damit.
Lustig war damals der POST Screen mit dem lachenden Gesicht in Form einer Orange iirc.

 

[s1ave77]

@MaverickM nebenbei wird das Thema Passwort gerade komplett überdacht. Viele der beteilgten Verfahren bezüglich Verschlüsselung/Hashing/Salting müssen überarbeitet werden.

Die meisten Verfahren sind nicht 'quantum processing proof' und selbst eine RTX4090 mit ihren Tensor-Einheiten und den richtigen Tools und Tabellen ist ein Game-Changer.

Da ist 2FA, am besten passiv wie TOTP, einfach unabdingbar, um Zero Trust überhaupt denkbar zu machen.

Sonst wär das Augenwischerei und Schlangenöl.

EDIT: 2FA wird an allen Fronten (Consumer und Business) zunehmend forciert. Wer nicht will, kommt irgendwann nicht rein oder verliert erstmal QoL-Features wie Zugriff auf Mails via 3rd-Party-Tool/App.

MS propagiert OTP mit der MS Authenticator App . Geht aber jede, die TOTP spricht.

 

[paganini]

Dann lass besser nie einen Telefonbucheintrag erstellen. Wird da mit dem Namen gespeichert. Sogar analog.

Und was hat das jetzt mit dem Fall hier zu tun? 🤦🏼‍♂️
Ich sehe noch immer nicht deine Adresse in der Signatur 🤷🏼‍♂️

 

[s1ave77]

Und was hat das jetzt mit dem Fall hier zu tun?

Wenn du keine Datensparsamkeit betreibst, können diese Daten auch auf anderen Wegen erlangt werden. (Wer unaufgefordert Klartext-Info, die vital ist, ins Netz stellt, hat leider immer verloren.)

Im Netz mit Suchmaschine und etwas 'Search-Fu'. Im Briefkasten, beim Blick über die Schulter am Bankautomaten.... via Phishing.....

Da ändert der Vorfall nicht wirklich was.

Gab letztens auch wieder einen neuen Leak von Mail-Account-Creds. Als erweitertes Alt-Pack.

Hat auch Nebeneffekte durchaus positiver Natur: immer mehr Karteileichen erleichtern es der anderen Seite auch nicht gerade .

Ergänzung (14. Juli 2024)

EDIT: Ich wurde gefragt, ob ich Steves Video (wurde hier gepostet) gesehen habe. Hab' ich ..

Der sagt sinngemäß dasselbe.

Ist peinlich für MSI (nicht das erste Mal und hat zu lange gedauert), unangenehm für die Kunden. Viel mehr auch nicht.

Da ist Info, die so nicht gefordert war und nicht verpixelt (macht mein Screenshot-Tool auf Wunsch vor dem Speichern). Teilweise 'semi-prophylaktisch' mitgesendet.

Mein Ausweis wird nicht bewußt kopiert. NFC, Postident in der Filiale mit Gesicht und Ausweis vorzeigen (nicht unbeaufsichtigt abgeben) oder es geht halt nicht.

 

[bad_sign]

Ist denn hier niemand außer mir, der über 600.000 Reklamationen erschrocken ist?

Alto belli...

Die Zahl ist wertlos ohne Kontext
600k in 7 Jahren bei 1 Mio Verkäufe? 60% Katastrophe
600k in 100 Mio Verkäufe? 0,6% gut

 

[Zer0DEV]

MSI ist nicht ISO27001 zertifiziert (https://www.msi.com/page/quality)
Ich frage mich, wie du zu der Meinung kommst, dass der ISO27001 Standard sinnlos ist, wenn das Unternehmen nach diesem nicht zertifiziert ist?

Hast du dazu weitere Informationen, wo du Schwächen im Standard erkannt hast?

Jüngstes Beispiel mit ISO27001 > Teamviewer

Wenn ISO27001 so gut ist, dann dürfte das ja gar nicht passieren.

 

[iTzZent]

Üblicherweise läuft die Garantieabwicklung in Deutschland über die Händler ab, bei denen das Produkt gekauft wurde. Es kommt jedoch auch immer wieder zu RMA-Abwicklungen direkt zwischen Kunden und Herstellern.

@Hurricane.de Die Aussage ist falsch. Nur PC Komponenten gehen über den Händler. Komplettsysteme, AIO´s und auch Notebooks gehen direkt über MSI. Bitte die News entsprechend anpassen.

 

[Postman]

Ich frage mich, was da alles schief laufen muss, damit das überhaupt passieren kann.

Netzwerk so konfiguriert, dass eine intranet-Subdomain von außen ohne VPN zugänglich ist UND kein Login/SSO aktiv damit der Zugang nur für befugte Mitarbeiter möglich ist.

Ziemlich unglaublich.

Gerade weil ITler sich mit ihrem "Fachwissen" so sicher wie du fühlen, passiert eben so etwas.
Es gibt immer einen weg daran zu kommen, denn selbst interne Systeme sind über irgendwelche anderen Systeme aufrufbar und den Aufwand von reinen Personalisierungen über alle Netzwerke bleibt Wunschdenken als Praxisgeschäft.

Man sollte nicht immer von kleinen Heimnetzwerken oder Pommesbuden auf riesige Firmen schließen.
Es gibt Firmen, welche in anderen Dimensionen denken müssen, welches dann eben ausgenutzt werden kann.

Es ist bleibt der Vergleich von einer Theorie zur Praxis.
Viele Firmen sind froh, wenn man morgens überhaupt schon mal störungsfrei arbeiten kann, mit den wackeligen Netzwerken, welche man von diversen Providern zur Verfügung gestellt bekommt.
Und fehl konfiguriert sich oftmals nur einer, kann vieles stillstehen.

Vieles wird zudem immer mehr ins Ausland und nach Asien verlagert, weil man dort billigere Netzwerker bekommt, welche dort aber noch schneller wechseln, sobald sich eine bessere Bezahlung auftut.

Und im Störungsfall greift meist nur das Abschottungsprinzip, dass der eigene Bereich schon mal nicht dafür verantwortlich ist.

 

[Hurricane.de]

@Hurricane.de Die Aussage ist falsch. Nur PC Komponenten gehen über den Händler. Komplettsysteme, AIO´s und auch Notebooks gehen direkt über MSI. Bitte die News entsprechend anpassen.

Ich hab's mal leicht angepasst, aber bewusst unspezifisch gelassen (also nicht die Produktklassen explizit genannt). Wir wissen derzeit ja gar nicht, ob das System nicht nur vom Support von MSI USA genutzt wurde.

Sollte sich herausstellen, dass auch europäische Kunden betroffen sind, kann das immer noch ergänzt werden. In dem Fall müsste MSI aber gemäß DSGVO auch von sich aus alle Betroffenen kontaktieren.

 

[Atkatla]

Wenn ISO27001 so gut ist, dann dürfte das ja gar nicht passieren.

Wieso dürfte das nicht passieren? Das ist eine ISO-Norm mit Sicherheitsmaßnahmen und -prozessen, deren Umsetzung es Angreifern deutlich erschwert, ans Ziel zu kommen. Oder glaubst du etwa, es gibt 100%ige Sicherheit?
Sicherheit ist ein kontinuierlicher Prozess auf mehreren Ebenen, es wird immer Möglichkeiten geben, irgendwo einzudringen, solange nicht all deine Dienste komplett air-gapped sind.

Die ISO zwingt die Datenhalter, sich mit diversen Prozessen und Maßnahmen zu beschäftigen, sie die sonst u.U. nicht umgesetzt hätten. Würden sie diese weglassen, wäre es für die Angreifer einfacher und die Wahrscheinlichkeit eines Sicherheitsbruches steigt.

 

[BorstiNumberOne]

ASRock ist doch auch ASUS?

Nein, sind sie schon lange nicht mehr und sie waren lange Zeit hinter Asus und MSI auf Platz drei. Aber ich habe mit ihnen auch nur gute Erfahrungen gemacht. Ich habe aktuell das vierte Mainboard von ihnen und keines war bisher defekt. Gekommen bin ich damals von Asus über Gigabyte zu Asrock. Bei Asus war ich früher immer, bis ich die von mir getaufte „Ladekiste“ (permanente Speicherruckler) hatte. Und von Gigabyte hatte ich danach auch mehrere Boards, aber eines ging auch hier defekt und dann hatte ich zwei von denen, welche beide um den CPU Sockel herum gefiept haben. Es war in dem Fall aber nicht die Graka, denn als das zweite dann bei der zweiten RMA zu lange gebraucht hatte, bin ich auf das erste Asrock umgestiegen, welches dann nicht gefiept hatte und seitdem eben da geblieben.

 

[Hardy_1916]

Danke MSI, erst dauerte die RMA meines X570 Unify unfassbare 6 Monate wobei ich beschuldigt wurde das Mainboard physisch beschädigt zu haben und die RMA erst 3 Mal deswegen abgelehnt wurde. Zum Glück hatte ich Bilder gemacht wie das Mainboard aussah, wie es im Original Karton gepackt war und wie ich es in den Versandkarton verpackte. Muss dazu schreiben, dass Cyberport den gesamten RMA Prozess über auf meiner Seite stand und mir auch die Bilder, die sie nach dem ersten Eingang des Boards bei ihnen machten zur Verfügung stellten.
Und jetzt kommt sowas ... 🤮

 

[Topflappen]

Ich bezweifele ob ich davon betroffen bin: im Jahre 2003 hatte ich ein KT3 Ultra eingeschickt weil eine Leiterbahn an der Kante zum AGP Slot durchtrennt war. Vermutlich mein Schafen gewesen, aber ich hab's nach 2 Wochen umgetauscht bekommen.
Ach, garantiert nicht, Dank Ladengeschäft musste ich nur ne Adresse und Telefonnummer hinterlassen, schöne neue Welt.

Solche Sicherheitslücken sind nicht zu vermeiden. Sobald die AI auch dafür verwendet wird sehe ich mit gewissen Befürchtungen in eine ereignisreiche Zukunft.

 

[Kuristina]

Aber ich habe mit ihnen auch nur gute Erfahrungen gemacht.

Ja, ich hab auch viel Gutes gelesen. Beim nächsten Mal sind die bestimmt wieder in meiner Auswahl. Ich hatte mich für das ASRock B650 LiveMixer Board interessiert. War in meiner Endauswahl mit dem MSI Tomahawk. Mir hat die Optik gefallen. ^^

 

[iron_monkey]

Unschön für die Betroffenen, hinterlässt immer ein ungutes Gefühl, das Risiko würe ich für mich jetzt aber als eher gering einschätzen.

Ich frage mich gerade ob nur ich 99,99% aller RMAs über den Händler abwickle... hab immer keine Lust beim Hersteller irgendwelche Accounts oder Angaben zu machen und bei den Händlern gehts über die Auftragsnummer oder den Account,?