Datenlecks zum 23.7.2020

[English]In den letzten Tagen gab es einige gravierende Datenlecks, bei denen Daten öffentlich wurden. So sind 25 GByte an Benutzerdaten von ancestry.com (Ahnenforschung) geleaked worden. Hier ein kurzer Überblick über einige dieser Datenschutzvorfälle.


Anzeige

Softwarefirma leakt 25 GB ancestry.com Daten

ancestry.com ist eine Firma, die sich auf Genealogie-Dienstleistungen spezialisiert hat. Ihr Hauptsitz ist im US-amerikanischen Lehi, Utah, die deutsche Niederlassung befindet sich in München und der europäische Geschäftssitz in Dublin. Als weltweit führender kommerzieller Anbieter für Ahnenforschung unterhält das Unternehmen ein internes computergenealogisches Netzwerk sowie historische Aufzeichnungen und eine genetische Genealogie-Datenbank, welche für Kunden auf der gleichnamigen Website zur Verfügung gestellt werden. In Deutschland wird die Website als Ancestry.de betrieben. Die Datensammlung dieser Firma legt also Stammbäume und Verbindungen zwischen Familien und Personen offen.

Nicolas Krassas weist in obigem Tweet auf einen Datenschutzvorfall bei diesem Anbieter hin. Laut diesem Bericht waren Die Daten aufgrund einer Fehlkonfiguration auf einem ElasticSearch-Server öffentlich abrufbar. Forscher der Cybersicherheitsfirma WizCase entdeckten einen falsch konfigurierten Cloud-Server. Dieser hostet die exklusiven Kundendaten der US-amerikanischen Technologiefirma ancestry.com, und verwaltet die Family Tree Maker-Software, auch FTM genannt.

Die Sicherheitsforscher geben an, dass die Datenbank Daten etwa 25 GB Daten enthielt, die der "The Software MacKiev Company" gehörten. Diese Firmen synchronisiert die Benutzerdaten der Generalogie-PlattformAncestry.com. Das ist nicht der erste Datenschutzvorvall von Ancestry.com. In einem früheren Datenleck waren die Anmeldedaten von 300.000 Konten im Klartext öffentlich geworden.


Anzeige

Was den jüngsten Vorfall betrifft, so sind nach Angaben von Forschern etwa 60.000 MacKiev-Benutzer von der Datenexposition betroffen, nachdem ein falsch konfigurierter ElasticSearch-Server für die Öffentlichkeit zugänglich war.

heise hat hier ebenfalls einen Artikel veröffentlicht, wo auf eine GEDmatch Gen-Datenbank irrtümlich zugegriffen werden konnte.

Datenleck legt VPN-Daten offen

Die Tage ist mir ein Bericht über ein Datenleck zugegangen, von dem einige VPN-Anbieter, darunter UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN und Rabbit VPN, betroffen sind. Diese VPNs teilen sich denselben ElasticSearch-Server, über den mehr als eine Milliarde Datensätze geleakt wurden. Dadurch ließen sich Benutzerdaten, einschließlich PIIs (vollständige Namen, E-Mails, Privatadresse), Klartext-Passwörter, Aktivitätsprotokolle (obwohl die Anbieter behaupten, keine Protokolle zu führen) und vieles mehr einsehen. Und es wurden technische Protokolle, die die VPN-Anbieter nutzen, offengelegt. Details lassen sich im Blog von vpnmentor nachlesen.

Neuseeland: Pass- und Führerscheindaten online

Das Team von cybernews.com hat mich gerade darauf aufmerksam gemacht, dass deren Sicherheitsforscher auf ein neues Datenleck gestoßen sind. Die Spezialisten sind auf eine ungesicherte Datenbank (Amazon Simple Storage Solution S3) der neuseeländischen Firma LPM Property Management gestoßen, die mehr als 31.000 Bilder von Reisepässen, Führerscheinen, Altersnachweisen und mehr enthält. Die Dateien umfassen:

  • Reisepässe, sowohl abgelaufene als auch aktive, aus Neuseeland, Australien und dem Ausland
  • Führerscheine mit ID-Nummern, Spenderstatus, Adressen, Geburtsdaten und vollständigen Namen
  • Nachweis von Altersdokumenten
  • Bewerbungsfotos
  • Bilder von beschädigtem Eigentum (beschriftet mit "Wartungsanforderungen") – die LPM hilft bei der Verwaltung des Eigentums verschiedener Vermieter.

Das sind sehr nützliche Informationen für Cyberkriminelle, denn mit dieser Art von Informationen können Kriminelle leichter Identitätsdiebstahl begehen. Das kann bis zur Aufnahme von Darlehen oder buchen anderer Dienstleistungen im Namen der Opfer gehen.

Ausweis (Quelle: cybernews.com)

Obwohl sich die Sicherheitsspezialisten an LPM wandten, um auf das Datenleck durch die ungeschützte Datenbank hinzuweisen, erhielten sie keine Antwort. Die Details haben die Sicherheitsforscher in diesem Blog-Beitrag beschrieben.

Datenleck bei MyCastingFile.com

Die prominente US-Online-Casting-Agentur MyCastingFile.com behauptet, Talente für Produktionen wie NCIS: New Orleans, True Detective, Pitch Perfect und die letzte Folge der Terminator-Serie, Terminator Genisys, rekrutiert zu haben. Nun hat es ein Datenleck gegeben, bei der privater Daten von mehr als 260.000 Nutzern öffentlich einsehbar waren.

Das Sicherheitsteam von safetydetectives.com entdeckte die Datensätze von über 260.000 Benutzern unter der Leitung von Anurag Sen bei der Suche nach offenen Servern im Internet. Die offene Datenbank enthielt die personenbezogene Daten (PII) wie physische und E-Mail-Adressen, Telefonnummern und sensible Informationen über charakteristische physische Merkmale. Insgesamt wurden fast 10 Millionen Datensätze offen gelegt, was einer Größe von etwa 1 GB entspricht.

Gemäß den Serveraufzeichnungen scheint die Lücke am 31. Mai 2020 entstanden zu sein. Nach Offenlegung durch die Sicherheitsforscher wurde die Schwachstelle von der Firma behoben wurde. Details lassen sich in diesem Blog-Beitrag nachlesen.

Das Wattpad-Datenleck

Wattpad ist eine Website oder App für Leser und Autoren zur Veröffentlichung neuer, von Nutzern generierter Geschichten in verschiedenen Genres, darunter Klassiker, allgemeine Belletristik, historische Belletristik, Sachbücher, Poesie, Fan-Fiction, Spiritualität, Humor, LGBTQI, junge Erwachsene, Urban Paranormal und Teen-Fiction. Aus öffentlichen Quellen geht hervor, dass die Website monatlich über 140 Millionen Besucher verzeichnet.

Im Juli 2020 wurden die Cyble-Sicherheitsforscher auf ein Datenleck aufmerksam. Ein bekannter Akteur bzw. eine bekannte Gruppe von Cyber-Kriminellen, die ShinyHunters, hat mit dem Verkauf einer erbeuteten Wattpad-Datenbank begonnen. Nach Angaben der Cyber-Kriminellen betrifft dies über 200 Millionen Konten. Der Hacker bzw. die Gruppe behauptete auch, dies sei die zweitgrößte "Datenverletzung" in der Geschichte nach der Verletzung von MySpace, die 2013 stattfand. Die Kollegen von Bleeping Computer wurden etwas früher als meine Wenigkeit informiert. Die haben diesen Artikel zum Thema veröffentlicht.

Hier gibt es die Beschreibung eines Datenlecks, nach dem Daten von 45 Millionen Reisen nach Thailand und Malaysia im Darknet gehandelt werden. Und diese aktuelle Meldung von Buzzfeed besagt, dass Hundertausende persönliche Daten (Kreditkartendaten etc.) von Instacart-Kunden im Darknet angeboten werden. Anfang des Monats erreichte mich der Hinweis, dass eine populäre Gambling-App (Clubillion Casino-App) für Android und iOS in einer Datenbank pro Tag über 200 Millionen Datensätze mit die IP-Adressen, E-Mail-Adressen, Gewinne und privaten Nachrichten der Spieler offen legte. Und Anfang des Monats erhielt ich von vpnmentor.com die Information über einen Datenschutzvorfall bei VShred, eine Fitnessmarke, die viele verschiedene Produkte in den Bereichen Fitness, Ernährung und Diät anbietet. Ein fehlkonfigurierter Amazon S3 Bit Bucket legte über 1 Million Dateien, wie z.B. benutzerdefinierte Essenspläne, sehr aufschlussreiche "Vorher/Nachher"-Bilder sowie weitere persönliche Daten offen. Der infomierte Betreiber entfernte lediglich einige Informationen, die Datenbank mit weiteren seniblen Informationen ist weiterhin offen.

Mir liegen zudem noch unveröffentlichte Dokumente vor, nach denen es in Deutschland in den letzten Monaten über 500 Fälle von Ransomware-Angriffen auf deutsche Firmen gab. Dabei wurden Daten gestohlen, mit deren Veröffentlichung gedroht wird.

Die Fälle zeigen, dass uns das Thema Datensicherheit längst entglitten ist. Der Wahn, alles und jedes in die Cloud zu legen, wird uns noch bitter auf die Füße fallen. Die Umbesinnung kommt erst, wenn klar ist, dass der für Daten in der Cloud zu zahlende Preis einfach zu hoch ist.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Datenlecks zum 23.7.2020

  1. 1ST1 sagt:

    Ich werde aus dem Artikel nicht ganz schlau. Muss sich jetzt jeder Ancestry-Nutzer Sorgen um seinen Accont machen, oder nur bestimmte Nutzer?

  2. Dat Bundesferkel sagt:

    "Datenleck legt VPN Daten offen"

    Naja, sieht für mich eher wie eine Verleumdungskampagne gegen "Free"-Anbieter aus, mit einer riesigen Portion Mutmaßung (wir "glauben", daß es sich um dieselbe Firma handelt, weil… selber Zahlungsdienstleister und ähnliche Internetpräsenz) – gleichermaßen aber großflächig für kommerzielle Anbieter werben.

    Viele VPN Anbieter werben auch nur damit, keine Protokolle zu den übertragenen Dateien aufzuzeichnen – zu Abrechnungszwecken müssen jedoch Kundendaten parat gehalten werden, dafür sorgen schon verschiedene Gesetze im jeweiligen Finanzraum der Länder.

    Irgendwie haben viele Leute auch ein falsches Verständnis von VPN. VPN dient nicht der Anonymität (WebRTC anyone?), VPN dient der Absicherung, damit kleine Fische den Datenverkehr nicht abgreifen – große Frische können dank Deep Packet Inspection durchaus was reissen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.