Die Sicherheitsfirma "
Directdefense" berichtet in einem Blogpost von einer Sicherheitslücke in einem Anti-Malware-Produkt des US-Unternehmens Carbon Black, einem Anbieter von Sicherheitsprodukten der rund ein Drittel der grössten 100 öffentlichen und privaten Unternehmen in den USA beliefert. Dem Bericht zufolge soll das Produkt Cb Response von Carbon Black eine enorme Menge an vertraulichen Firmendaten nach aussen durchsickern lassen – darunter Cloud Keys, App Store Keys, Benutzernamen und Passwörter sowie auch proprietäre Anwendungen wie massgeschneiderte Algorithmen und andere vertrauliche Daten.
Die geleakten Daten sind zwar generell nicht online verfügbar, laut "Directdefense" könnten diese aber für Regierungen, Unternehmen und Security-Teams verfügbar sein, insofern diese bereit seien für teure Anti-Malware Tools zu bezahlen. "Directdefense"-President Jim Broome bezeichnet das Ganze als das weltweit grösste pay-for-play Datenextraktions-Botnet.
Carbon Black ist spezialisiert auf die sogenannte "endpoint detection and response" (EDR), einem Begriff für Sicherheits-Tools, welche verdächtige Netzwerkaktivität entdecken und untersuchen sollen. Dazu werden Daten bezüglich potentiellen Gefahren gesammelt und zentral gespeichert, um darauf basierend die Abwehrfähigkeiten der Plattform auszubauen. Carbon Black identifiziert dabei Dateien als gut oder schlecht, um zu verhindern, dass Klienten schädliche Dateien auf ihren Systemen ausführen.
Um dadurch neue und bislang unbekannte Dateien zu kontrollieren, sendet Carbon Black die Dateien an einen Cloudbasierten Multiscanner weiter, was bedeutet, dass alle neuen Dateien mindestens einmal auf die Carbon Black Server hochgeladen werden. Das Problem dabei: Die Multiscanner operieren als profitorientierte Unternehmen. Wer für den Dienst zahlt, bekommt dadurch Zugriff auf die Dateien, die durch den Scanner überprüft werden.
Als die Sicherheitsfachleute von Directdefense routinemässig das Analyse-Interface eines grossen cloud-basierten Multiscanners dazu benutzten, auf ein potentielles Sicherheitsleck eines Kunden zu reagieren, stiessen diese auf eine Reihe interner Applikationen eines, so Directdefense, "sehr grossen Telekommunikationsequipment-Anbieters." Durch weitere Nachforschungen fanden die Fachleute dann heraus, dass die Daten von Carbon Black hochgeladen worden waren und stiessen auf immer mehr Dateien. Darunter etwa Amazon Web Services Zugangsdaten, Slack API Keys, Google Play Keys und Apple Store IDs eines grossen Streaming-Anbieters.
