Unschöne Geschichte, die einen deutschen Cloud-Provider betrifft, der Daten von fast allen Bewohnern Georgiens in einem Elasticsearch-Server gehostet hat. Leider war der Elasticsearch-Server ungeschützt per Internet erreichbar. Ein Sicherheitsforscher ist auf das Datenleck gestoßen und hat es gemeldet. Inzwischen ist die Datenbank gegen unbefugten Zugriff gesichert.
Anzeige
Sicherheitsforscher Bob Dyachenko (Inhaber von SecurityDiscovery.com) und das Cybernews-Forschungsteam sind Anfang Oktober 2024 im Internet auf einen ungeschützten Elasticsearch-Index gestoßen. Elasticsearch ist eine Plattform für die Datenanalyse und Suche in nahezu Echtzeit.
Betrieben wurde der Elasticsearch-Index von einem ungenannten, aber in Deutschland ansässigen Cloud-Dienst. In diesem Index waren die persönlichen Daten von Millionen georgischer Bürger enthalten.
Die ungeschützten Daten umfassten fast 5 Millionen Datensätze mit persönlichen Daten von Einzelpersonen aus Georgien, und zudem über 7 Millionen Telefondaten mit zugehörigen persönlichen Informationen. Dabei leben in Georgien lediglich knappt vier Millionen Menschen. Die Daten können doppelte Einträge und Datensätze über verstorbene Personen enthalten. In den Datensätzen wurden folgende persönliche Informationen gefunden:
ID-Nummern
Vollständige Namen
Geburtsdaten
Geschlechter
Zertifikatsähnliche Nummern (möglicherweise Versicherung)
Telefonnummern mit beschreibenden Informationen über den Besitzer
Anzeige
Dyachenko zufolge wurden die Daten offenbar aus verschiedenen Quellen zusammengetragen oder aggregiert. Möglicherweise stammen sie auch aus staatlichen oder kommerziellen Datensätzen und Nummernidentifizierungsdiensten. Der Eigentümer der Daten bleibt jedoch unbekannt.
Kurz nach der Entdeckung am 4. Oktober 2024 wurde der Server am 7. Oktober 2024 vom Netz genommen. Gleichzeitig wurde der öffentliche Zugang zu den Daten gesperrt. Obwohl der Server vom Netz genommen wurde, bleibt dies ein Datenleck, welches für die georgischen Bürger besorgniserregend ist. Denn deren persönliche Daten könnten in die Hände von böswilligen Akteuren gelangen. Dann ließen sich die Daten ausnutzen, um sich als die entsprechenden Personen auszugeben oder Finanzverbrechen zu begehen.
"Bedrohungsakteure können persönliche Daten sowohl für politische als auch für kriminelle Aktivitäten missbrauchen. Vom Staat gesponserte Hacker können das Datenleck für politische Manipulationen, Desinformationskampagnen oder gezielte Schikanen ausnutzen. In der Zwischenzeit können profitorientierte Hacker die Daten für verschiedene bösartige Aktivitäten ausnutzen", so Dyachenko. Die Details hat Cybernews in diesem Artikel dokumentiert.
Anzeige
Ich unterstelle mal, dass der Provider keinen Fehler gemacht hat, sondern ein Kunde es (möglicherweise unwissentlich) falsch konfiguriert hat.
Irgendwas in Internet stellen und den Access für alle erlauben ist keine Raketenwissenschaft; das richtige Absichern schon eher.
Hieße es es wäre auf einem Server eines US-Providers gehostet, wäre die Schuldfrage sicherlich direkt auf den Provider statt dessen Kunden gefallen ;)
Halte ich für eine windige Theorie.
Ich bin da nicht wirklich Fachmann, aber ich glaube, es ist egal, ob du in AWS, Azure, Google, Open Telekom Cloud oder sonst einem Cloud-Baukasten rumklickst; wenn du keine Ahnung hast, stehen da schnell mal die Türen offen.
Leider geht das nicht wirklich aus der Primärquelle hervor: "The instance was hosted on a server owned by a Germany-based cloud service provider." Man kann aber vermuten, daß es sich um einen VPS handelte und der Kunde für die fehlende Absicherung verantwortlich war.
Die Geschichte ist unschön.
Aber es geht aus der Quelle nicht hervor, wer für das Datenleck verantwortlich warm Kunde oder Cloudanbieter.
Und zudem geht aus der Quelle nicht hervor, ob überhaupt Daten abgeflossen sind.
Nur weil etwas ungeschützt im Internet steht, heißt das nicht, das nicht berechtigte Akteure auf die Daten zugegriffen haben.
Die Grundfrage ist, warum müssen Daten von georgischen Bürgern in einem in Deutschland ansässigen Cloud-Dienst gespeichert sein?
Können wir nicht beantworten – es kann ein Kunde aus Georgien gewesen sein, der ein Hosting in Deutschland gebucht hat. Es kann ein Dienstleister gewesen sein, der das Projekt für Georgien macht und hier hostet. Ist aber nicht relevant – der Punkt ist: Es gab wieder ein Datenleck auf Grund eines offenen (ungeschützten) Elasticsearch-Index.
Genauer heisst das, das Datenleck wurde über den offenen Elasticsearch-Index entdeckt, vorhanden war es auch so.
Vermutlich hängt auch Georgien maßgeblich an DE-CIX dran (via Istanbul, oder so).
Wenn du dann einen Nachbar wie Russland hast, deine eigene RZ-Infrastruktur im Land evtl. nicht einmal mit der von einer Stadt wie Düsseldorf mithalten kann und auch deine sonstigen Nachbarn alles andere als investitionsfreundliche Länder sind, willst du aus Redundanzgründen Dienste für die Bürger stabil erreichbar haben und suchst dann woanders.
Deutschland hat eine extrem hohe Dichte an Rechenzentren mit hohen Redundanzen, die zwar nicht zwingend günstig, aber bezahlbar sind.
Der Datenverkehr zwischen Süd und große Teile Osteuropa wie Naher-Osten und Nordafrika, der über den Atlantik soll, geht immer noch maßgeblich über Deutschland.
Entsprechend dick ist das Backbone-Netz auch in Deutschland, weshalb es auch sehr witzig war, als ISPs mal den Engpass bei der Bandbreite Ihrer Endkunden, mit mangelnden Kapazitäten beim Backbone-Netz begründeten. Daraufhin haben die Backbonbetreiber kurz die Augen hochgezogen, haben ihr Monitoring ausgewertet, und dann ihre Verbandsvertretung mit "Können wir nicht (im Ansatz) bestätigen" antworten lassen (ich paraphrasiere).
Wenn ich mich nicht vertue, läuft praktisch die gesamte staatliche Verwaltung der Ukraine mittlerweile in der Cloud von Microsoft, AWS und Google, maßgeblich auf Servern in deutschen RZ und auch nicht in Bulgarien oder so.