Eine schwere Sicherheitspanne hat dazu geführt, dass vertrauliche Daten aus einem Backup öffentlich seit einem Jahr per Internet abrufbar waren. Mit dabei Passwörter für diverse Systemzugänge und mehr.
Anzeige
Die Redaktion von ZDNet.com berichtete erstmals in diesem Artikel über den Vorfall auf dem Stewart International Airport. Ein Administrator hatte ein Server-Backup auf einen Speicher eingerichtet, der auch per Internet erreichbar war. Dummerweise waren weder das Sicherungslaufwerk noch die Backups per Kennwort vor dem Zugriff Dritter geschützt.
Chris Vickery, leitender Sicherheitsforscher beim MacKeeper Security Center, war in die Analyse der Daten involviert und hat seine Erkenntnisse hier veröffentlicht. Das Ganze lief wohl seit April 2016, und die Server-Backups wurden von einem beauftragten Unternehmen (wohl ein IT-Dienstleister als One-Man-Show, wie ich aus dem Text herauslese) auf Buffalo-Speichereinheiten abgelegt. Diesem Shodan Eintrag lässt sich entnehmen, dass da ein Internet Information Server (IIS) unter Windows werkelt.
(Quelle: MacKeeper)
Unter den Daten war alles zu finden, was die Leute so interessieren könnte: Netzwerkkennwörter, 107 GByte E-Mail-Korrespondenz sowie auch Sozialversicherungsnummern von Angestellten (womit man in den USA eine Menge anstellen kann).
Anzeige
In diesem Artikel sind noch eine Reihe an interessanten Details nachlesbar. Die vom Flughafen im März 2016 beschaffte und eingesetzte Buffalo Terastation Backup NAS ist schon nicht "unbeleckt". Das gleiche Modell wurde auch als Problem beim Ameriprise Financial-Datenleck verwendet. Sicherheitsforscher Chris Vickery vermutet, dass dort Port 873 auf einigen Buffalo Terastationen geöffnet wurde. Beim US-Flughafen war das sogar beabsichtigt, weil man eine Software ShadowProtect testen wollte.
Der verantwortliche IT-Dienstleister rief wohl bei dem Sicherheitsforscher Chris Vickery an und beschuldigte ihn krimineller Machenschaften, wie dieser hier schreibt. Der Vorwurf: Er habe Daten entwendet und diese auch noch öffentlich gemacht. Dass die Daten öffentlich im Internet einsehbar waren, war dem Guten gar nicht aufgefallen. Das ist wohl erneut ein Fall, wo Outsourcing kräftig schief gelaufen ist. Der Sicherheitsforscher schreibt "You get what you pay for, even in IT" – was auch keine neue Erkenntnis ist.
Anzeige
"You cannot expect one person to maintain an airport network infrastructure."
Das liegt daran, dass den meisten Vorgesetzten JEGLICHE Vorstellungskraft fehlt, was vernetzte Computer alles können. Oder auch nicht.
Für die meisten ist ein Computer eine Black Box, die auf simplen Knopfdruck SÄMTLICHE Probleme löst, insbesondere dann, wenn das Betriebssystem von Microsoft geliefert wird.
"This is a classic example of what can go wrong with privatization."
Was für eine un-amerikanische Aussage! Der muss aufpassen, dass man ihm wegen dieser kommunistischen Äusserung nicht mit einem Berufsverbot belegt.
Schliesslich ist die Privatisierung DAS Allheilmittel. Bei uns leider auch.
"For-profit companies have every incentive to, all too often, prioritize revenue over best practices."
Schon wieder so eine un-amerikanische Aussage! Die Privatwirtschaft ist, wenn es nach den USA geht, der grösste Wohltäter der Menschheit. Und Staat ist pfui.
(Wer Sarkasmus findet, darf ihn behalten.)