1,2 Milliarden Nutzerdaten auf ungeschütztem Server gefunden

[English]Sicherheitsforscher sind im Internet auf einen ungeschütztem Elastiksearch-Server gestoßen, der 1,2 Milliarden Nutzerdaten aufwies. Diese Daten wurden aus Social Media-Kanälen abgezogen und mit Informationen von Datenbrokern ergänzt.


Anzeige

Ich bin durch einen Tweet des Sicherheitsanbieters Kaspersky auf diesen neuen Sicherheitsvorfall aufmerksam geworden.

Da ist jemand auf eine gigantische Datensammlung mit Namen, E-Mail-Adressen und weiteren Daten gestoßen, die nach europäischem Recht schlicht illegal ist.

Details des Datenlecks

Die Datenbank, die am 16. Oktober von den Sicherheitsforschern Bob Diachenko und Vinny Troia entdeckt wurde, enthält mehr als 4 Terabyte an Daten. Diese Daten wurden aus abgezogenen Informationen aus Social-Media-Quellen wie Facebook und LinkedIn generiert.


Anzeige

Diese Informationen wurden mit Namen von Benutzern, persönlichen und beruflichen E-Mail-Adressen, Telefonnummern, Twitter- und Github-URLs und anderen Daten, kombiniert. Das sind Daten, die üblicherweise von Datenvermittlern – d.h. Unternehmen, die sich auf die Unterstützung gezielter Werbe-, Marketing- und Messaging-Dienste spezialisiert haben – zur Verfügung gestellt werden.

Die Profile bieten quasi eine 360-Grad-Sicht auf Einzelpersonen, einschließlich ihrer Beschäftigungs- und Bildungshistorie. Diachenko gibt an, dass praktisch jeder Mensch, der irgendwie im Internet aktiv war, in dieser Datenbank erfasst ist. Und alle diese Informationen waren ungeschützt, so dass für den Zugriff kein Login erforderlich war.

Datenbroker stecken dahinter

Die Untersuchung von Diachenko und Troia ergab, dass die Datensätze von zwei verschiedenen Datenbrokern (People Data Labs (PDL) und OxyData[.]io). stammen. Deren Geschäftsmodell ist es, sehr detaillierte Profile von Personen zusammenzustellen.

"Die Mehrheit der Daten umfasste vier separate Datenindizes mit den Bezeichnungen "PDL" und "OXY" mit Informationen über etwa 1 Milliarde Menschen pro Index", schrieben die Forscher. "Jeder Benutzereintrag in den Datenbanken wurde mit einem Quellfeld gekennzeichnet, das entweder PDL oder Oxy entsprach."

Nach der Benachrichtigung der Unternehmen betritten beide, dass der betreffende Server zu ihnen gehörte. "Um zu testen, ob die Daten zu PDL gehörten oder nicht, haben wir auf deren Website ein kostenloses Konto eingerichtet, das den Nutzern 1.000 kostenlose Abrufe pro Monat ermöglicht", erklärten die Forscher. "Die auf dem offenen Elasticsearch-Server entdeckten Daten entsprachen fast vollständig den Daten, die von der People Data Labs API zurückgegeben wurden. Zur Bestätigung haben wir 50 andere Benutzer stichprobenartig getestet und die Ergebnisse waren immer konsistent."

OxyData hat Diachenko inzwischen eine Kopie seines Profils geschickt, und auch diese Datenfelder stimmen überein. Die Forscher sind sich nicht sicher, wie die Daten in der jetzt geschlossenen Datenbank gesammelt wurden. Es könnte ein Kunde von PDL und OxyData gewesen sein. Denkbar wäre auch, dass die Daten von Hackern gestohlen und in der Datenbank abgelegt wurden. Der einzige Hinweis auf den Eigentümer des Servers war die IP-Adresse (35.199.58.125), und dass er in der Google Cloud gehostet wurde.

Datenschutzfragen tangiert

Neben dem Aspekt, dass die Daten ungeschützt auf dem Elasticsearch-Server per Internet abrufbar waren, wirft der Fall Datenschutzfragen auf. Erstens stellt sich die Frage der Haftung durch die Datenbroker (PDL und OxyData) gegenüber den Personen, deren Profile veröffentlicht wurden. Zweitens bleibt die Frage, ob die Sammlung und Anreichung der Daten, auch wenn die Informationen aus angeblich öffentlichen Quellen stammen, überhaupt zulässig ist. Im Sinne der DSGVO mit Sicherheit nicht, da die Betroffenen der Speicherung der Daten nicht zugestimmt haben. Das bleibt noch spannend – und es ist klar, dass die beiden Datenbroker alleine schon aus rechtlichen Gründen abstreiten, dass die Daten von ihnen stammen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu 1,2 Milliarden Nutzerdaten auf ungeschütztem Server gefunden

  1. Tom sagt:

    Legal – Illegal – Egal!
    Da kann man(n und frau) mal wieder sehen, wie die Umsetzung solcher Sachen wie der DSGVO vorgenommen wird, bzw. was diese bringen – nämlich unzureichend und nichts.

  2. Dekre sagt:

    also 1,2 Mrd Nutzerdaten. Wie kann man diese bearbeiten? Es geht mit Zeit.

    Es leben ca 5 -6 Mrd Menschen. Jetzt rechnet man weiter. Aber da diese aus sog". social…??" – Konten kommen, so dürfe die Vielfachlegung immens sein und es schränkt sich weiter ein.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.