[English]Wer im Internet unterwegs ist, hinterlässt Spuren, speziell, wenn er mit Kreditkarte einkauft. Sicherheitsforscher sind nun auf eine ungesicherte Datenbank gestoßen, die frei per Internet zugreifbar war. In dieser Datenbank waren 9 Millionen Kreditkarten-Transaktionsdaten gespeichert. Die Datenbank gehört dem in Kalifornien ansässigen US-Unternehmen Cornerstone Payment Systems.
Anzeige
Der Sicherheitsvorfall wurde von Sicherheitsforscher Jeremiah Fowler zusammen mit dem Forschungsteam von Website Planet entdeckt und in diesem Beitrag beschrieben. Bei der Suche nach offenen Datenbanken stieß man auf eine per Internet erreichbare, offene und nicht passwortgeschützte Datenbank, die 9.098.506 Datensätze und personenbezogene Daten enthielt.
Es gab einen Ordner (Tabelle) mit dem Namen "Transaktionen": Dieser enthielt Daten mit Informationen zur Kreditkartenabwicklung (interne Transaktionsprotokolle) mit den Namen von Händlern und Zahlungsempfängern, Teilnummern von Kreditkarten, Ablaufdatum der Kreditkarte, die E-Mail-Adressen, Telefonnummern, Sicherheits- oder Zugriffstoken und mehr.
Diese Daten sind als persönlich identifizierbare Informationen (PII) zu betrachten. Die Spender oder Händler könnten Ziel von Spam oder Social-Engineering-Betrug werden. In einer begrenzten Stichprobe haben die Sicherheitsforscher festgestellt, dass es sich offenbar um echte Personen und aktive Kontakte handelt.
Die Datensätze enthielten teilweise Kartennummern, Kartentypen, Gültigkeitsdaten, Spendenangaben, wiederkehrende Zahlungen und Kommentare. Zu den Spendenangaben gehörten der Dollarbetrag und der Verwendungszweck der Spende, z. B. Spenden, Zahlungen für Waren oder Dienstleistungen und im Grunde jede andere Transaktion. Die Daten zu elektronischen Scheckzahlungen umfassten Banknamen und Schecknummern. Die Notizen enthielten auch Genehmigungszeichen und Angaben darüber, ob die Zahlung abgelehnt oder angenommen wurde, sowie die Gründe für diese Entscheidung.
Anzeige
Viele der Transaktionen, die die Sicherheitsforscher bei der Sichtung der Datensätze sahen, betrafen Spenden oder wiederkehrende Zahlungen an religiöse Organisationen, Wohltätigkeitskampagnen oder gemeinnützige Gruppen.
In einigen Fällen wurden Spender, die in der Datenbank als "anonym" gekennzeichnet waren, in den Aufzeichnungen durch ihre Namen und E-Mail-Adressen im Klartext identifiziert, zusammen mit Kommentaren über ihre Spende. Laut den Sicherheitsforschern enthüllten die Aufzeichnungen nicht nur die Identität "anonymer" Spender. Anhand der Kommentare ließen sich auch die Ansichten und Überzeugungen der Spender herausfinden – Informationen, von denen die einzelnen Spender möglicherweise nicht wollten, dass sie öffentlich bekannt werden – weil sie sich einem zusätzlichen Risiko für ihre Privatsphäre aussetzen.
In einer Zufallsstichprobe von 10.000 Datensätzen suchten die Sicherheitsforscher nach gemeinsamen E-Mail-Konten innerhalb der Daten. Im Ergebnis ließen sich 3.641 Gmail-Adressen, 1.194 Yahoo-Adressen und eine geringe Anzahl von MSN-, Comcast- und anderen Anbietern oder privaten E-Mail-Servern extrahieren. Details zu den gefundenen Daten sind in diesem Beitrag beschrieben.
Bei weiteren Nachforschungen fanden sich Hinweise auf das in Kalifornien ansässige Unternehmen Cornerstone Payment Systems. Die Sicherheitsforscher kontaktieren dieses Unternehmen, der dann den öffentlichen Zugriff auf die Datenbank noch am selben Tag eingeschränkte.
Cornerstone West Inc. ist laut Website Planet eine registrierte unabhängige Vertriebsorganisation (ISO) der Deutschen Bank, USA, New York, NY. Cornerstone ist eine der landesweit führenden, christlich geführten, unabhängigen Vertriebsorganisationen in der Handelsabwicklungsbranche. Der Dienstleister bietet die Abwicklung von Transaktionen für Unternehmen und Gruppen an, die mit den Cornerstone-Überzeugungen und Ideologien (im religiösen Bereich) übereinstimmen.
Anzeige