Bericht bestätigt Mängel im Bestandsmanagement des FBI für elektronische Speichermedien

Am 22. August 2024 veröffentlichte das Büro des Generalinspekteurs des US-Justizministeriums (DOJ OIG) ein Memorandum, das auf erhebliche Bedenken bezüglich der Bestandsführung und Entsorgungsverfahren des FBI für elektronische Speichermedien hinweist. Diese Medien enthalten sensible, aber nicht klassifizierte Informationen sowie klassifizierte nationale Sicherheitsinformationen und befinden sich in einer gesicherten FBI-Einrichtung.

Der Bericht kritisiert das FBI für mehrere Schwachstellen:

  • Unzureichende Nachverfolgung: Das FBI kann den Verbleib von elektronischen Speichermedien, wie aus Computern entnommenen Festplatten, nicht immer nachweisen, was das Risiko von Verlust oder Diebstahl erhöht.
  • Fehlende Kennzeichnung: Medien, die aus größeren Komponenten entnommen werden, sind oft nicht korrekt mit ihrer Klassifizierung gekennzeichnet, was gegen die FBI- und DOJ-Richtlinien verstößt.
  • Mangelhafte physische Sicherheit: Medien, die zur Entsorgung bestimmt sind, werden oft nicht ausreichend physisch gesichert, wodurch das Risiko eines unbemerkten Abhandenkommens besteht.

Das DOJ OIG gab drei Empfehlungen zur Verbesserung der Bestandsverwaltung und Entsorgung von Speichermedien, denen das FBI zugestimmt hat.

Related Posts

MS Edge: kritische Sicherheitslücke in Chromium-basierter V8-Engine

Am 22. August 2024 wurde die Sicherheitslücke CVE-2024-7971 im Chromium-Projekt bekannt gegeben, die eine Type Confusion im V8 JavaScript-Engine betrifft. Diese Schwachstelle wird aktiv ausgenutzt und betrifft sowohl Google Chrome als auch Microsoft Edge, da dieser ebenfalls auf Chromium basiert.

Read More

Microsoft behebt kritische Sicherheitslücke in Copilot Studio

Am 21. August 2024 wurde eine schwerwiegende Sicherheitslücke in Microsofts Copilot Studio bekannt. Die Schwachstelle CVE-2024-38206 wurde mit einem CVSS-Score von 8.5 bewertet und ermöglicht es einem authentifizierten Angreifer, durch eine Server-Side Request Forgery (SSRF)-Attacke auf sensible Informationen zuzugreifen. Die Sicherheitslücke erlaubt es, Metadaten abzurufen und Managed Identity Access Tokens zu erhalten, die wiederum genutzt werden konnten, um auf interne Ressourcen wie Cosmos DB-Instanzen zuzugreifen.

Read More

Zip Slip-Sicherheitslücke in .a-Static Library-Dateien von MobSF entdeckt

Letzte Woche wurde eine schwerwiegende Sicherheitslücke in der MobSF-Software (bis Version 4.0.6) aufgedeckt, die eine Zip Slip-Schwachstelle in der Analyse von .a-Static Library-Dateien betrifft. Diese Schwachstelle erlaubt es Angreifern, Dateien an beliebige Orte auf dem Server, auf dem MobSF läuft, zu extrahieren, indem die implementierte Sicherheitsmaßnahme umgangen wird.

Read More