Beim Buchungsportal Ferienwohnungen.de will die Cyberbande
Safepay eingebrochen sein. Jetzt sind Daten im Darknet aufgetaucht.
Beim Online-Buchungsportal Ferienwohnungen.de konnten
Kriminelle offenbar im größeren Stil Daten entwenden, die sie inzwischen
im Darknet veröffentlicht haben. Ein kurzer Countdown lief bis
Donnerstagmittag, inzwischen steht auf dem Darknet-Auftritt "Published"
auf der Kachel. Dort lassen sich die veröffentlichen Daten direkt
aufrufen.
Die Verzeichnisstruktur der veröffentlichten Daten
deutet darauf hin, dass die Angreifer ein Backup vom 10. Juli 2025 aus
einer Nextcloud-Instanz gezogen haben. Es finden sich
Nutzerverzeichnisse, die ihrerseits eine Menge Daten enthalten. Es
fallen den Dateinamen zufolge etwa Verträge mit Großkunden ins Auge,
Rechnungsstellung, Informationen aus der Buchhaltung sowie offenbar auch
Informationen zu den Angestellten des Portals. Aus der umfangreichen
Dateiliste ließ sich nicht erkennen, ob auch Daten von Privatkunden des
Portals dort lagern; offensichtliche SQL-Dumps oder Ähnliches scheinen
nicht enthalten zu sein.
Keine Reaktion
Auf
Anfragen hat Ferienwohnungen.de nicht reagiert, auch
die dahinterstehende Holidu GmbH antwortete nicht darauf. Eine Anfrage
beim Bayerischen Landesamt für Datenschutzaufsicht blieb bislang
ebenfalls unbeantwortet.
Somit lässt sich derzeit nicht
verifizieren, ob die Daten echt sind und wie weitreichend der
Datenabfluss ist. Wer seinen letzten Urlaub dort gebucht hat, sollte
zumindest besonders achtsam bei eingehenden Nachrichten sein – die auf
der Nextcloud-Instanz lagernden Informationen reichen teils viele Jahre
zurück und könnten Phishern helfen, eine authentischere Ansprache in die
Nachrichten zu bringen. Da die Dateien Hinweise auf Schulungen durch
Datenschutzbeauftragte nahelegen, sollten theoretisch zumindest keine
Daten von Privatkunden dort liegen, die mehrere Jahre zurückreichen.
IT-Experten haben eine Lücke in Browser-Erweiterungen von
Passwort-Managern entdeckt, die das Stehlen von Zugangsdaten erlaubt.
Eigentlich sollen Passwort-Manager den Umgang mit vielen
verschiedenen Passwörtern vereinfachen. Dazu bringen sie meist
Browser-Erweiterungen mit, die Formularfelder mit Zugangsdaten
automatisch befüllen können. IT-Experten haben eine Schwachstelle in
den Browser-Erweiterungen diverser Passwort-Manager aufgedeckt, durch
die bösartige Webseiten Zugangsdaten mit einer Clickjacking-Attacke
abgreifen können.
Clickjacking-Angriffe sind eigentlich
altbekannt. Dabei schieben Angreifer unsichtbare Elemente etwa vor
Dialoge, und die Klicks der Besucher landen dann auf dem unsichtbaren
Element und nicht in dem gewünschten Feld. Neu ist der DOM-basierte
Angriff auf die Browser-Erweiterungen, den die IT-Experten auf der Defcon 33 vorgestellt haben.
Den
grundsätzlichen Angriff beschreiben die IT-Experten folgendermaßen. Zunächst muss
eine bösartige Webseite ein Element aufweisen, das den Zugriff auf die
Seite verwehrt, etwa ein Cookie-Banner, ein Captcha oder ähnliches. Die
Webseite selbst benötigt ein Formular, etwa für persönliche Daten, wie
ein Log-in. Für das Formular setzen Angreifer die Opacity (Deckkraft)
auf 0.001, es wird dadurch unsichtbar. Mit der Funktion focus()
wird nun das Formularfeld aktiviert, woraufhin das Dropdown-Menü zum
Ausfüllen des Passwort-Managers erscheint. Neu ist nun, dass mit dem
vorgestellten Angriff über das Document Object Model (DOM) das
User-Interface der Browser-Erweiterung ebenfalls unsichtbar gemacht
werden kann, indem die Deckkraft reduziert wird – hier passiert nun das
DOM-basierte Clickjacking in der Browser-Erweiterung: Opfer klicken
vermeintlich auf das Cookie-Banner oder Captcha und landen dabei auf dem
unsichtbaren Dialog der Browser-Erweiterung. Die füllt die
Formularfelder aus, die Angreifer gelangen an die Einträge im Formular.
Anfällige Passwortmanager
Die IT-Experten haben folgende Passwort-Manager untersucht: 1Password, Bitwarden,
Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper,
LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm. Bei den Tests
setzten diese das manuelle Ausfüllen von Formularen durch die
Passwort-Manager-Erweiterungen.
Bei den meisten Passwort-Managern
können Angreifer nicht-Domain-spezifische Informationen wie
Kreditkartendaten oder persönliche Daten wie Name, Telefonnummer,
Anschrift und so weiter mit bösartig aufgesetzten Webseiten auslesen.
Um
an Zugangsdaten und sogar Zwei-Faktor-Daten zu kommen, müssen Angreifer
eine Webseite mit Cross-Site-Scriping-Schwachstellen finden, Subdmains
übernehmen, Web-Cache-Poisoning oder ähnliches erreichen und die
Passwort-Manager so konfigurieren, dass sie die Subdomains nicht
berücksichtigen – in der Regel die Standardeinstellung bei den
Passwort-Managern, erörtern die IT-Experten. Als Beispiel führt man an, dass etwa
eine Cross-Site-Scripting-Lücke in "test.dev.sandbox.cloud.google.com"
genügt, um an die Zugangsdaten zu "accounts.google.com" zu gelangen. Sie erklären zudem einen weiteren Angriff, mit dem sich in einigen
Fällen sogar Passkeys mit der Clickjacking-Attacke missbrauchen und von
Angreifern neue Sessions öffnen lassen.
Bis Dienstag dieser Woche
haben Dashlane, Keeper, Nordpass, ProtonPass und RoboForm die
Schwachstellen gefixt. LastPass hat die Preisgabe
nicht-Domain-spezifischer Informationen bereits eingehegt. Inzwischen
steht auch von Bitwarden die Version 2025.8.0 bereit. Der Klick auf
"Hilfe" – "Nach Aktualisierungen suchen..." bietet das Herunterladen und
Installieren der Aktualisierung an. In den Browser-Stores kommt die
aktualisierte Erweiterung etwas später, da sie dort noch einen
Review-Prozess durchlaufen muss. Inzwischen hat zudem auch Enpass
aktualisierte Browser-Erweiterungen herausgegeben.
Sie nennen einige Empfehlungen, mit denen sich Nutzer schützen können sollen. Dazu
gehört das Aktivieren der automatischen Aktualisierung sowie das
Sicherstellen, die jüngste Version des Passwort-Managers einzusetzen.
Noch bietet jedoch nicht jeder Hersteller Updates an. Das Deaktivieren
des automatischen Ausfüllens hilft dem Problem ab, dann müssen Nutzer
jedoch Nutzernamen und Passwörter manuell kopieren. Ebenfalls hilfreich
ist die Einstellung "Exakte Übereinstimmung der URL". In
Chromium-basierten Browsern sei zudem möglich, konkret in den
Einstellungen der Browser-Erweiterungen in Chromium anstatt "Auf allen
Webseiten" erst "Bei Klick" Zugriff zu gewähren. Erst nach Klick auf das
Erweiterungs-Icon rechts neben der Adressleiste lässt sich dann eine
Erweiterung nutzen.
IT-Experten finden gelegentlich einige Schwachstellen in Passwort-Managern. Etwa im vergangenen Oktober hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Codeanalyse bei Vaultarden und KeepPass vorgenommen und stieß auf einige Sicherheitslecks.
