AnyDesk: Kundendaten tauchen im Netz auf
von caschy | 17 Kommentare
Das Unternehmen AnyDesk ist Opfer eines Cyberangriffs geworden (wir berichteten). Die Angreifer konnten auf die Systeme des deutschen Unternehmens, bekannt für seine Fernwartungssoftware, zugreifen. Laut AnyDesk seien deren Systeme so konzipiert, dass sie keine privaten Schlüssel, Sicherheitstoken oder Passwörter speichern, die für eine Verbindung zu Endgeräten von Benutzern ausgenutzt werden könnten. Dagegen steht jetzt erst einmal ein neuer Bericht. Da geht es um ein Forum, in denen die Kundendaten von AnyDesk-Nutzern zum Verkauf angeboten werden. Konkret wurden die Daten für 18.317 Konten für 15.000 US-Dollar angeboten, die Daten umfassten den Nutzernamen nebst Passwort zum Login in die Weboberfläche von AnyDesk.
Die Entwickler von Resecurity haben einige der aufgetauchten Daten genutzt, um deren Inhaber zu kontaktieren, sie alle haben in der Vergangenheit AnyDesk genutzt. Durch den Zugriff auf das AnyDesk-Portal könnten Angreifer aussagekräftige Details über die Kunden erfahren – einschließlich, aber nicht beschränkt auf den verwendeten Lizenzschlüssel, die Anzahl der aktiven Verbindungen, die Dauer der Sitzungen, die Kunden-ID und Kontaktinformationen, die mit dem Konto verknüpfte E-Mail-Adresse usw die Gesamtzahl der Hosts mit aktivierter Fernzugriffsverwaltungssoftware, zusammen mit ihrem Online- oder Offline-Status und ihren IDs.
Nicht bekannt ist, ob die Daten vielleicht aus früheren Leaks stammen und gegen AnyDesk-Konten abgeglichen worden sind. Wichtig für Kunden von AnyDesk ist: Passwort ändern. Zwei-Faktor-Authentifizierung aktivieren, falls nicht geschehen und eventuell die Whitelist-Funktion aktivieren.
Wird geladen ...
Wir sind als IT-Dienstleister unmittelbar von der Lücke betroffen und sind schockiert über die mangelnden Informationen von AnyDesk. Konkret gibt es keine einzige Email an uns wegen des Einbruchs obwohl wir hunderte Systeme damit verwalten und jedes Jahr tausende Euro dafür zahlen.
Ob und wie wir gefährdet sind, da habe ich mehr Infos aus Born City bekommen als vom Anbieter selbst.
Wir haben zum Glück bereits vorher 2-Faktor Authentifizierung, Whitelisting sowie Passphrase verwendet und haben diese direkt nach Bekanntwerden geändert und werden morgen alle Clients neu ausrollen mit den Builds den neuen Signaturen.
Hinterlässt trotzdem alles ein sehr ungutes Gefühl.
Einige externe Dienstleister nutzen AnyDesk bei uns gelegentlich, um sich auf zu betreuende Systeme zu schalten; die werden zukünftig ein anderes Tool verwenden müssen, ich hatte schon immer damit ein schlechtes Gefühl und dieser Vorfall bestätigt das nur.
So einfach ist das leider nicht. Nun kann man sich als Kunde bestimmten Tools natürlich verweigern, aber das kann der Dienstleister auf der anderen Seite auch. So nutzt etwa der größte Medizin IT-Software Anbieter in Deutschland AnyDesk, die Compugroup Medical.
Wenn man denen den Einsatz von AnyDesk verbietet, werden die einfach keine Fernwartung mehr bei dir machen. Wir bewegen uns da schlicht in Regionen, in denen Sicherheitsaspekte hinter wirtschaftlichen Belangen zurückstehen.
Zumal sich eine gewachsene Infratstruktur auch nicht mal so eben ersetzen lässt. Wir sind von 1,5 Jahren von Teamviewer zu AnyDesk gewechselt und das war ein ganz schöner Kraftakt bei allen Kunden.
Die aktuelle Situation wird natürlich mit den Dienstleistern besprochen und wir werden mit Sicherheit eine Lösung finden. Zum Glück geht es bei uns nur um sehr wenige Firmen.
CGM nutzt die On Premise Version auf eigenen Servern, wenn ich es korrekt verstanden habe wurde AnyDesk eigene Server angegfiffen. Die CGM ist da aber autark unterwegs.
Das ist richtig. Allerdings sind wird da schon wieder in einem Konflikt. Denn kann CGM jetzt sagen „Hey, bei uns alles sicher, weil wir das selbst betreiben!“?
Wie weit traue ich einer Software, deren Anbieter ein solches Problem hatte und wie trenne ich in der Firewall / Endpoint zwischem „guten“ und „schlechtem“ AnyDesk?
Leider stößt man in der Praxis an ganz vielen Punkten auf genau solche Schwierigkeiten und am Ende zieht die Wirtschaftlichkeit häufig mehr als Sicherheitsbedenken.
Die Kommunikation von Anydesk ist katastrophal, aber das auch schon vor dem Vorfall.
Ich hatte privat 3 Instanzen, wovon eine auf einmal als „gewerbliche Nutzung“ gesperrt wurde.
Bis ich da mal tatsächlich eine Aussage über den Grund bekam, vergingen Monate – und die Lösung war Rustdesk.
Nur kann man bei Anydesk die zuvor erstellten privaten Accounts auch nicht wirklich komplett löschen – seitdem ist mir dieser Laden, ebenso wie TeamViewer, bei dem das 1:1 genauso ist, extrem zuwider…
Dumm in dem Bezug mit dem „Störfall/GAU“ ist auch die Tatsache, dass viele Anwender Ihr Passwort öfters verwenden – aufgrund immer weiter fortschreitender geforderter Komplexität kann man das auch persönlich irgendwie verstehen.
Die dürfen jetzt alle anderen Accounts auch aktualisieren, sofern Sie dort das gleiche oder ein ähnliches Passwort verwendet haben … Von daher ist wieder einmal die alte Weisheit „ZeroTrust“ und „1 System = 1 einzigartiges Passwort“ bis dato wieder einmal bestätigt.
Ich warte ja nur darauf, das eines Tages auch ein prominenter Online-Passwort-Manager, der einem die Arbeit abnimmt, auch komplett „fällt“ …
Die Alternative Rustdesk habe ich soeben mal bei virustotal gecheckt.
Leider katastrophale Ergebnisse. Etliche Warnungen, ob die nun berechtigt sind kann ich als Laie nicht beurteilen. Weiß jemand mehr?
Bei Rustdesk gab es ein DDOS Attacke weswegen es viele Störungen gab, seit ca 1 Std haben ich keine Fehlermeldungen mehr. Ansich ist RustDesk wie AnyDesk in der Benutzung. Nur das man hier auch einen eigenen Server aufsetzen kann wenn man möchte.
Der Laden kann gleich Insolvenz anmelden.
Nach so einem Vorfall ist das Vertrauen zerstört und die Kunden und Partner werden sich abwenden.
Genau. LassPass, Dashlane, TeamViewer und co. haben vegleichbare Vorfälle ja bekanntlich auch nicht überlebt.
Wir unterhalten uns in 1-2 Jahren nochmal…
Microsoft ist doch auch noch da, trotz Schlüsselverlust.
Ich habe auf allen Geräten mit denen ich zu tun habe diese Software löschen lassen. Habe ab und an AnyDesk – wenn etwas anlag – privat genutzt;
Allerdings musste die AnyDesk immer vor Ort manuell gestartet und angenommen werden; nix mit Autostart oder einloggen per Benutzerkonto.
Benutzerkonten habe ich dort bewusst nie erstellt.
Vllt jetzt nochmal mit Rustdesk und eigenen Verbindungsserver beschäftigen; oder eigenes VPN und was mit Microsoft Remote Manager ?
nutze Rustdesk mit eigenem Server (ich nutze den kostenlosen VPS von Oracle Cloud den man da dauerhaft kostenlos bekommt – für den Zweck vollkommend ausreichend). Funktioniert bestens bisher.
bei Oracle sind sogar zwei VMs kostenlos. https://www.oracle.com/cloud/free/
Hast Du dafür irgendwo vielleicht eine Anleitung? Klingt nämlich sehr interessant;)