Krasser Fundsplitter in den Weiten des Internet. Dem französischen Cloud-Anbieter Scaleway war eine SSD während eines speziell gesicherten Transports zwischen zwei Rechenzentren "abhanden gekommen". Doof, weil dort Kundendaten drauf gespeichert waren. Nach über einem Jahr meldete sich ein YouTuber, der die SSD auf einer Internetseite gekauft hatte und den Ursprung anhand der gefundenen Daten ermitteln konnte.
Anzeige
Scaleway (früher Online SAS oder Online.net) ist der zweitgrößte Cloud-Computing- und Webhosting-Anbieter Frankreichs. Gegründet 1999 von Xavier Niel, gehört es mehrheitlich zur Iliad-Gruppe und bietet physische dedizierte Server sowie Cloud-Computing-Architekturen über die Marken Scaleway Dedibox® und Scaleway Elements, Domain-Registrierungsdienste über die Marke BookMyName und Colocation-Dienste in seinen Rechenzentren an.
Problem: Datenträger kommt abhanden
Nun bin über diesen Artikel auf diese Geschichte aufmerksam geworden, die ganz offiziell im Scaleway-Blog veröffentlicht wurde. Das Unternehmen führte vor über einem Jahr einen speziell gesicherten Transport von Hardware zwischen zweier seiner Rechenzentren durch. Dabei wurde wohl eine SSD, auf der Kundendaten gespeichert waren, gestohlen. Das Unternehmen hat den Vorfall gemeldet und die potenziell betroffenen Kunden gewarnt.
Ein YouTuber braucht eine SSD
Wie die Zufälle des Lebens so spielen, gab es wohl einen Menschen, der ein Video über das Thema Datenlöschung und Datenpersistenz nach der Formatierung eines Mediums erstellen und auf YouTube veröffentlichen wollte. Dazu ging er eine einschlägige Kleinanzeigen Webseite durch und kaufte dort eine SSD für seine Demonstration.
Bei der Durchsicht des Inhalts der SSD stieß er dann auf die Daten der Kunden und erkannte, woher diese SSD wohl stammen musste. Er kontaktierte Scaleway, die mit dem Käufer kooperierten, um die SSD wiederherzustellen. Der Käufer versicherte schriftlich, dass er keine Kopie der Daten angefertigt und diese auch nicht verändert habe.
Anzeige
Über den YouTuber konnten die laufenden polizeilichen Ermittlungen zum Diebstahl wohl voran gebracht werden – Details verrät das Unternehmen nicht. Gleichzeitig hat das Unternehmen auf diesen Vorfall hin eine vollständige Prüfung der Medientransportprozesse durchgeführt. Es wurde eine strengere Kontrolle dieser Transporte eingeführt. Zum Beispiel wird Lagermaterial jetzt in "gehärteten" Kisten transportiert, die mit GPS-Trackern ausgestattet sind.
Der französischsprachige Artikel enthält noch einige Ausführungen zu den Aktivitäten gegen Cyber-Kriminalität der Scaleway-Mitarbeiter. Das Beispiel zeigt aber wieder einmal, dass der Teufel oft im Detail steckt.
Anzeige
was letzte preis?
du kürzen satz? tönt lustig! kann auch…
:-) Auch umstellen Du kannst, noch lustiger das wirkt.
-yoda-
Ist ein eBay (Kleinanzeigen)-Klassiker. Damit wurde/wird man alle naselang von Komikern zugeballert, die gerne nur -10 % des Verkaufspreises zahlen wollen.
Ich kenne mich jetzt zwar nicht so sehr mit dem französischen Gesetzen aus, die Datenhehlerei betriffen, … vielleicht wäre es sogar für denjenigen besser gewesen der SSD den "InternalSecureErase" zu geben und gut wäre die Sache (für ihn) gewesen?!?
"Er kontaktierte Scaleway, die mit dem Käufer kooperierten, um die SSD wiederherzustellen."
Liest sich jetzt irgendwie so, als ob sie die Daten auf dem Medium tatsächlich bräuchten?
Daten Verschlüsseln bei sicherem Transport ist natürlich bei absolut keine Option :D
OVH hat neulich nach dem Brand ein halbes Rechenzentrum quer durch Frankreich (von Sbg nach Rbx) umgezogen. Da alle Kundenserver mal schnell zu verschlüsseln wäre jetzt wirklich keine Option gewesen.
Selbst ein "sicherer Transport" kann mit der nötigen kriminellen Energie abgefangen werden – denk mal nur an die 6000 Goldbarren in England. Das ist dann eher eine Versicherungsfrage.
Die Verschlüsselung knipst man vorher an? SecureBoot läuft ja auch immer. Ist einfach common sense ;)
Sorry aber von einem Rechenzentrumsbetreiber erwarte ich das er besser mit Kundendaten umgeht als ich das kann, ansonsten hat er meiner Meinung nach den Job verfehlt. Ich habe auch keine unverschlüsselten fremden Daten bei mir zu Hause, solche Daten verschlüsselt man bevor man sie transportieren muss, so das man sie im Notfall dann direkt transportieren kann. Im Brandfall nehme ich meine Backupfstplatte beim verlassen der Wohnung auch einfach mit da muss ich auch nicht erst noch einen Backupvorgang starten :D
Der Betreiber des Rechenzentrums hat dann wahrscheinlich auch keine USV. Mit dem Problem beschäftigt er sich auch erst dann wenn der Strom ausfällt und bestimmt nicht vorher.
Naja nix für ungut, aber Datensicherheit gilt: Sicher bist du nur wenn du dich selbst drum kümmerst!
Sich auf Dritte Verlassen ist leichtsinnig hoch 10! Genauso wie wichtige persönliche Daten nicht in Hände Dritter gehören.
Zwei einfache Regeln, die mir schon oft den Arsch retteten!
Einfach nur wahr!
Ein Cloudanbieter ist also nicht fähig die Daten übers Internet zu übermitteln?