Ohne eine einzige technische Zugangshürde überwinden zu müssen, haben Sicherheitsforscher des Chaos Computer Clubs (CCC) mehr als 6,4 Millionen unterschiedliche persönliche Datensätze gefunden und auf diese Zugriff gehabt. Betroffen waren laut dem CCC „Kundinnen, Fluggäste, Bewerberinnen, Patientinnen, Versicherte und Nutzerinnen sozialer Netzwerke“.
Die Daten lagen auf dem „Präsentierteller“, so die Sicherheitsforscher. Bei mehr als der Hälfte der gefundenen Daten gelang der Zugang über Git-Repositories, in denen Programmcode verwaltet wird, bei einem Viertel über sogenannten Elasticsearch-Instanzen. Letztere sind Cloud-Services zum Speichern und Durchsuchen von Nutzer:innendaten.
Der CCC hatte jeweils direkt nach Entdeckung der Datenlecks die jeweiligen Firmen und Institutionen kontaktiert und auf den Missstand hingewiesen. Darunter waren unter anderem BMW, die Bundeswehr, die Deutsche Bahn, Nestle und der Landtag Niedersachsen.
Drei Viertel der Verantwortlichen hätten sich zurückgemeldet, sich bedankt und die Schwachstelle behoben, heißt es in der Pressemeldung. Zehn Prozent hätten nicht geantwortet, aber immerhin die gemeldete Schwachstelle behoben. Zwei Unternehmen haben die im Zuge der freiwilligen Netzpatrouille wiederholt gemeldeten Sicherheitslücken bisher ignoriert. Ob die Unternehmen und Institutionen sachgemäß ihre Meldung bei den Datenschutzbeauftragten gemacht haben, konnte der CCC nicht nachvollziehen.
3-D-Gebisse und Passagierdaten gefunden
„Es ist ernüchternd, wie sorglos manche Unternehmen mit ihren Daten oder schlimmer, den Daten ihrer Kundinnen umgehen“, sagt Matthias Marx, Sprecher des Chaos Computer Clubs. „Immerhin wurde in den meisten Fällen schnell und professionell reagiert. Für die anderen hoffen wir, dass unsere Meldung der letzte notwendige Weckruf war.“
Zu den gefundenen persönlichen Daten gehörten Passenger-Name-Records einer nicht mehr existenten Airline, Datensätze von Dentalfirmen samt 3-D-Modellen der Gebisse, Kunden- und Gewinnspieldaten sowie Bewerbungsunterlagen und dazugehörige Ablehnungsgründe.
Laut dem CCC hätten die meisten der Datenlecks einfach verhindert werden können. Passwörter standen unverschlüsselt im Netz oder die Firmen stellten Zugangs-Tokens und Testsysteme mit Kundendaten online. Der CCC hat angekündigt, die Netzpatrouille demnächst zu wiederholen, um eine „Lernerfolgskontrolle“ durchzuführen.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires