Beim Elektronik-Händler Conrad hat es ein Datenleck gegeben, bei dem ein Unbefugter Zugang auf Kundendaten, inklusive Zahlungsinformationen durch eine ungesicherte Elasticsearch Datenbank hatte.
Anzeige
Dritte hatten Zugriff
Conrad hat die Datenpanne in dieser Meldung öffentlich gemacht. Danach hat der Händler davon Kenntnis erlangt, dass sich Unbekannte durch Ausnutzung einer Sicherheitslücke Zugang zu einem begrenzten Bereich des Conrad IT-Systems verschafft hatten. Potenziell, so schreibt Conrad, hätten sie damit offenbar Zugriff auf einen Teil der Kundendaten gehabt.
Alles halb so wild?
Nach gründlicher Untersuchung, so Conrad in seiner Mitteilung, lägen keine Hinweise darauf vor, dass der Zugang genutzt worden wäre, um Daten missbräuchlich zu verwenden.
Konkret wäre nach Angaben des Unternehmen der Zugriff auf die knapp 14 Millionen Kunden-Datensätze der Conrad Grupp, möglich gewesen. Dies umfassen Postadressen, teilweise E-Mail-Adressen bzw. Fax- und Telefonnummern und bei knapp einem Fünftel der betroffenen Datensätze auch IBANs. Demnach sind wohl keine Kreditkartendaten abgreifbar gewesen.
Weder dem Unternehmen noch den ermittelnden Behörden liegen, laut der Conrad-Mitteilung, Hinweise darauf vor, dass Kundendaten missbräuchlich verwendet wurden. Auch wenn aus Sicht der Behörden keine Kundeninformation erforderlich ist, informiert das Unternehmen seine Kunden und die Öffentlichkeit 'im Sinne eines guten und partnerschaftlichen Umgangs vorsorglich'.
Anzeige
An dieser Stelle stellt sich mir natürlich die Frage, wie die Aussagen des Unternehmens in diesem Fall zu bewerten sind. Ob Kundendaten in Untergrundforen landen, ist sicherlich nicht ad-hoc zu beantworten – solange die Personen nicht identifiziert sind, die Zugriff auf die Daten hatten. Möglicherweise weiß das Unternehmen mehr, ohne es zu verraten. Auf jeden Fall dürfte das Ganze datenschutzrechtliche Konsequenzen im Sinne der DSGVO haben – es sei denn, der Fall liegt vor Mai 2018.
Unsicherter Elasticsearch-DB als Quelle des Lecks
Die IT-Experten von Conrad haben die Sicherheitslücke im System identifiziert und geschlossen. Die betroffenen Daten waren in einer Elasticsearch-Datenbank gespeichert. Laut Conrad war diese Datenbank nicht frei im Netz zugänglich, sondern nur durch Einsatz spezieller Software auffindbar. Diese Software macht sich Lücken in der Sicherung von Datenbanken zunutze.
Conrad schreibt dazu: Sollten durch die Datenlücke Daten entwendet worden sein, könnten beispielsweise E-Mail-Adressen der betroffenen Kunden genutzt werden, um Spam-Mails an sie zu senden. Conrad rät daher grundsätzlich zu besonderer Vorsicht beim Umgang mit verdächtigen E-Mails, insbesondere, wenn diese dazu auffordern, Anhänge zu öffnen.
Die letzte Aussage des Unternehmens steht in meinen Augen im krassen Widerspruch zur obigen Aussage, dass es kein missbräuchliche Nutzung gegeben habe. Irgend etwas passt da nicht wirklich.
Conrad gibt an, wegen des unerlaubten Eindringens in die Unternehms-IT unverzüglich Strafanzeige beim Landeskriminalamt gestellt und sofort das Bayerische Landesamt für Datenschutzaufsicht über den Vorfall informiert zu haben. Das Unternehmen arbeite mit den Behörden zusammen, um den Vorgang aufzuklären und erforderlichenfalls weitere notwendige Konsequenzen zu ziehen, erklärt Tilman Scherer, verantwortlich für die Unternehmenssicherheit bei Conrad Electronic.
"Die Sicherheit unserer Kunden und ihrer Daten ist uns sehr wichtig. Wir bedauern sehr, dass es zu dieser Datenpanne gekommen ist und bitten unsere Kunden aufrichtig um Entschuldigung", so Werner Conrad, CEO Conrad Electronic. (via)
Ergänzung: Das Thema ist ja in diversen Medien binnen weniger Stunden aufgegriffen worden. Abseits der etwas ungeschickten und nebulösen Conrad-Verlautbarungen tauchen inzwischen erste Nutzer auf, die mutmaßen, dass die Conrad-Daten für Spam missbraucht werden. Im Forum von heise findet sich dieser Kommentar mit folgendem Text:
Zugangsdaten aufgetaucht
Heute Mittag habe ich eine Erpresser E-Mail erhalten, in der mein Passwort als Name der anhängenden PDF Datei zu lesen war. Die E-Adresse war die, die ich zusammen mit dem Passwort bei Conrad verwendet habe. Ein schon sehr merkwürdiger Zufall, da ja keine Daten bei Conrad abgeflossen sind?!
Und in diesem Kommentar wird Spam von einer bei Conrad registrierten Mail-Adresse ab dem 14.11.2019 reklamiert. Ähnliches wird hier diskutiert. Das sind alles keine harten Fakten (da ich die Umstände nicht verifizieren kann) sondern nur Hinweise, die in ein sehr merkwürdiges Bild passen, welches Conrad in meinen Augen gerade abgibt.
Ähnliche Artikel:
Elektronikversender Pollin gehackt, Daten für Phishing genutzt
Anzeige
Na da bin ich aber mal richtig froh darüber, daß ich vor einiger Zeit das Angebot einer s.g. "Cashcard" von CONRAD ausgeschlagen habe…und auch zukünftig auf derlei "Firlefanz" und das überall verzichten werde…
"Laut Conrad war diese Datenbank nicht frei im Netz zugänglich, sondern nur durch Einsatz spezieller Software auffindbar. Diese Software macht sich Lücken in der Sicherung von Datenbanken zunutze"
Natürlich muss die DB irgendwie im Netz "frei" zugänglich gewesen sein, wie sollte sonst eine Software sie "finden"!?. Bringen wir es auf den Punkt, Conrad hatte eine Datenbank laufen, die nicht im Schutz des eigenen Netzwerke lag, sondern eine "Cloud Lösung" war und damit aus dem Internet zugreifbar. Wahrscheinlich nicht offen, sondern mit Logins geschütz, aber dennoch im Netz erreichbar.
Und wahrschenlich war die DB über einen Standardport erreichbar (9200/9300 ?), was es Portscannern relativ einfach macht anhand des Ports die Datenbank zu ermitteln und den Angriff zu starten.
Was hatte ich ein paar Beiträge weiter zurück zu MS Azure geschrieben?
Voila – hier direkt ein Beispiel aus der Realität.
Warum bekommen solche Datenbank Betreiber keine Strafe in einer Höhe, bei der die die Augen für eine Woche nicht mehr aufbekommen?
Dann würden die mal auf ein korrektes Sicherheitsmanagment achten.
Es wird wirklich nicht besser!
Der Klaut gehört die Zukunft. Also den Datendieben.
Wenn es nicht so traurig wäre…