Bei der deutschen Post hat es ein größeres Datenleck gegeben. Die persönlichen Daten von 200.000 Kunden waren ohne weiteren Schutz direkt per Internet abrufbar.
Anzeige
Stell dir vor, Du ziehst um, und jeder, den das interessiert, kann sich deine Daten ansehen. Genau dieses Szenario hat die Deutsche Post ungewollt ermöglicht. Unter umziehen.de kann man nicht nur Nachsendeanträge kostenpflichtig buchen (klappt zwar oft nicht, aber egal), sondern auch seine Umzugsadresse mitteilen. Die letztgenannte Dienstleistung ist gratis und die Post informiert Dienstleister über die neue Adresse. Macht wohl Sinn, da der Kreis der Zugriffsberechtigten begrenzt bleibt. Aber wenn Daten ungeschützt abrufbar sind, wird das nicht jedem Recht sein.
Kopie einer SQL-Datenbank auf dem Webserver
Bei einem Update war wohl eine Kopie der MySQL-Kundendatenbank mit dem Namen dump.sql angefertigt worden, die ungeschützt im Netz (auf dem Webserver der Post) stand und sich unter https://www. umziehen.de / dump.sql herunterladen ließ. Entdeckt hat dies die Redaktion von Golem.de, die über den Fall hier berichtet. Die Post hat dies bestätigt:
"Im Rahmen eines Sicherheitsupdates unseres Umzugsportals umziehen.de ist eine Kopie der Datenbankeinträge erstellt worden, die im Anschluss des Updates entgegen unserer Sicherheitsstandards aufgrund menschlichen Versagens nicht gelöscht wurde und anschließend für Nutzer mit Expertenwissen zugänglich war."
Wie Hanno Böck bei Golem.de schreibt, scheint der Fehler häufiger aufzutreten. Laut seinen Angaben konnte er auf mehr als 2.000 Webseiten über die URL auf ungeschützte Datenbanken zugreifen.
Anzeige
bestimmt Neuland…
für Tante Post.
Wenn man dem Artikel von Golem glauben mag, ist wohl nicht nur die Deutsche Post davon betroffen, sondern diverse Shops und Anbieter von Dienstleistungen jeglicher Art.
Ist mir im übrigen auch schon passiert das ich die Anleitung von MySQL all zu einfach übernommen habe, wodurch anschließend beim anlegen einer Datensicherung eine "dump.sql" Datei übriggeblieben ist. Scheint wohl anderen ebenso zu gehen, der Fehler scheint wohl auf schlecht geschultes Personal zurück zu führen zu sein, wie bei so vielen anderen Problemen auch in der IT.
Ist halt nur scheiße wenn andere gezielt danach suchen, von einem Hack kann man da kaum sprechen wenn solche "dump.sql" Dateien mal eben so beim Besuch kopiert wird.
…frei nach dem immer wieder gerne angebrachten Motto:
"Bei UNS kann das nicht passieren!"
und
"Einen 100%-igen Schutz gibt es nicht!"
So köstlich, das Ganze…
Christian