![LOGO_STOIK_WHITE.png]](https://help.stoik.io/hs-fs/hubfs/LOGO_STOIK_WHITE.png?height=40&name=LOGO_STOIK_WHITE.png){kind=logo}
Die Datenlecks Ihrer Mitarbeiter werden auf zwei verschiedene Arten angezeigt, je nachdem, ob ihr Ausnutzungspotenzial bestätigt ist oder nicht:
1. 🆕 Datenlecks mit bestätigtem Ausnutzungspotenzial
Dies sind die kritischsten Datenlecks, da ein Angreifer sie direkt nutzen könnte, sobald er sie erlangt.
1.a. 🆕 Host Compromised Detected
Unser Externer Scan meldet eine Schwachstelle mit hoher Kritikalität, sobald ein Mitarbeiter in den letzten 180 Tagen kompromittiert wurde – damit Sie schnell und effektiv reagieren können.
1.b. 🆕 Gültige Benutzeranmeldedaten in Datenleck gefunden
Unser Externer Scan weist Sie darauf hin, ob die durch unseren Reiter Datenleck gefundenen Anmeldedaten noch aktiv sind.
Konkret werden die auf dem Dark Web offengelegten Kundenanmeldedaten nun auf der betreffenden URL getestet, um ihre Gültigkeit zu überprüfen. Die verwendete Test-Engine ist IA Validator (eine Browser-Nutzungsbibliothek, die die OpenAI-API verwendet).
Wenn die Gültigkeit bestätigt wird, wird im Rahmen der Analyse des Externen Scans von Stoïk eine „hohe“ Schwachstelle erstellt, die die Nutzer dazu auffordert, ihre Zugangsdaten zu aktualisieren.
Der Benutzername und die URL werden dann auf Stoïk Protect angezeigt (das Passwort kann auf ausdrückliche Anfrage an protect@stoik.io geteilt werden).
Auch wenn es sich nicht um eine „kritische“ Schwachstelle handelt, benachrichtigen Sie die CERT-Analysten von Stoïk proaktiv per E-Mail, sobald eine solche Schwachstelle auftaucht.
2. Datenlecks mit noch zu bestätigendem Ausbeutungspotenzial
Der Reiter Externe Oberfläche > Ergebnisse > Datenlecks listet sämtliche bei Ihren Mitarbeitern erkannten Datenlecks auf – unabhängig davon, ob deren Ausbeutungspotenzial bereits bestätigt ist oder nicht.
Das angegebene Datum entspricht in der Regel dem Zeitpunkt, zu dem unser Tool das Datenleck erkannt hat – nicht dem tatsächlichen Zeitpunkt des Lecks.
Wenn Sie auf ein bestimmtes Datenleck klicken, erhalten Sie detaillierte Ergebnisse. Hier zwei Beispiele zur Interpretation der Resultate:
- „IP“ und „Passwort“: In diesem Beispiel bedeutet dies, dass für die E-Mail-Adresse craig.maxwell@my-company.com sowohl das Klartext-Passwort (Passwort) als auch die IP-Adresse im Rahmen des Adobe Data Breach 2024 für die Domain my-company.com geleakt wurden.
- „Passwort“ und „Verschlüsseltes Passwort“ In diesem Beispiel bedeutet dies, dass für die E-Mail-Adresse emma.gaucher@my-company.com sowohl das Klartext-Passwort („Passwort“) als auch der Hash („verschlüsseltes Passwort“) auf mehreren Webseiten unbekannter Herkunft geleakt wurden – daher der Begriff „Combolists“.
Warum wird bei manchen Leaks eine unbekannte Quelle angezeigt?
Das von Stoïk eingesetzte Tool zur Erkennung von Datenlecks liefert uns nicht immer die genaue Quelle des Lecks.
Das Tool erkennt, dass Daten geleakt wurden – beispielsweise, weil sie im Dark Web zugänglich sind –, weiß jedoch nicht, wie sie dorthin gelangt sind. Aus diesem Grund gibt das Tool den Begriff „Combolists“ zurück, was „Quelle unbekannt“ bedeutet.
Zu ergreifende Maßnahmen: Für die in diesem Reiter aufgeführten E-Mail-Adressen empfehlen wir Ihnen Folgendes:
- Die betroffenen Mitarbeiter informieren, um sie zu sensibilisieren
- Bitten Sie sie, ihre Passwörter zu ändern.