Das Safety Detective Research Team hat zwei Websites entdeckt, die die Daten ihrer aktiven Benutzer verraten. Zugänglich waren Millionen von Datensätzen, darunter vollständige PII, Klartext-Passwörter, Bankverbindungen, etc. Beide Webseiten sind im Besitz von Pouring Pounds Ltd., einem internationalen Cashback-Unternehmen.
Anzeige
Sicherheitsforscher von Safety Detectives sind auf ein Datenleck gestoßen, welches Daten im Umfang von 2 Terabyte beinhalten. Die Daten wurden auf einem Elastic Server gehostet, der öffentlich erreichbar und nicht abgesichert war. Wer nach einem bestimmten Port suchte, konnte den Elastic Server leicht finden und die Daten für böswillige Zwecke abrufen.
Die Datensätze der offenen Server umfassten den vollständigen Namen, die Telefonnummer und die E-Mail-Adresse, Anmeldeinformationen für die Plattform einschließlich Kennwort im Klartext, Bankdaten etc. Betroffen waren die Webseiten Pouringpounds.com und Cashkaro.com, die beide zur Pouring Pounds Ltd. gehören. Die Leaks betreffen registrierte Käufer in Indien und Großbritannien.
Soweit die Sicherheitsforscher sehen konnten, stand der Elastic Server seit dem 9. August 2019 offen im Netz. Mir ist die Information von Safety Detective per Mail zugegangen. Details lassen sich in diesem englischsprachigen Blog-Beitrag nachlesen.
Anzeige
