![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Beim US-Immobiliendienstleister First American Financial Corp. waren vertrauliche Unterlagen von Immobilienk\u00e4ufern in den USA \u00fcber Jahre \u00f6ffentlich abrufbar, wenn man die URL kannte.<\/p>\nBeim US-Immobiliendienstleister First American Financial Corp. waren vertrauliche Unterlagen von Immobilienk\u00e4ufern in den USA \u00fcber Jahre \u00f6ffentlich abrufbar, wenn man die URL kannte.<\/p>\n
<\/p>\n
Das berichtet Brian Krebs in diesem Artikel<\/a> auf Krebs on Security. Hunderte Millionen an Dokumenten im Zusammenhang mit Hypothekengesch\u00e4ften von US-Amerikanern, die bis in das Jahr 2003 zur\u00fcckreichen, waren ohne Authentifizierung f\u00fcr jeden mit einem Webbrowser abrufbar. Es brauchte nur eine Mail des Unternehmens mit einem Link auf die eigenen Daten. \u00c4nderte man die Vertragsnummer, erhielt man Zugriff auf die Daten des jeweiligen Kunden.<\/p>\n Die digitalisierten Datens\u00e4tze enthielten extrem vertrauliche Daten,\u00a0 einschlie\u00dflich Bankkontonummern und Kontoausz\u00fcge, Hypotheken- und Steuerunterlagen, Sozialversicherungsnummern, \u00dcberweisungsbelege und F\u00fchrerscheinbilder. Falls Gauner diese Daten in die Finger bekamen, war das das perfekte Material f\u00fcr einen Identit\u00e4tsdiebstahl.<\/p>\n Krebs untersuchte die Geschichte nach einem Hinweis des Entwicklers Ben Shoval. Dieser hatte nach einem Vertragsabschluss eine Mail mit einem Link auf die eigenen Unterlagen erhalten. Ihm fiel auf, dass durch simple \u00c4nderung der Vertragsnummer in der URL Zugriff auf andere Vertr\u00e4ge m\u00f6glich waren. Der Entwickler hatte aber keinen Erfolg, als er das Unternehmen auf das Problem hinwies. Also ging die Information an Brian Krebs, der dann dem Thema nachging. Krebs konnte durch \u00c4nderung der Vertragsnummer auf die Daten von 885 Millionen Vertr\u00e4gen zugreifen. Stichproben ergaben, dass die Daten bis zu 16 Jahre in die Vergangenheit, d.h. ins Jahr 2003, reichten.<\/p>\n Krebs kontaktierte den Immobiliendienstleister. Das Unternehmen hat die Datenbank inzwischen vom Netz genommen. Die Antwort des Unternehmens:<\/p>\n \"First American has learned of a design defect in an application that made possible unauthorized access to customer data. At First American, security, privacy and confidentiality are of the highest priority and we are committed to protecting our customers' information. The company took immediate action to address the situation and shut down external access to the application. We are currently evaluating what effect, if any, this had on the security of customer information. We will have no further comment until our internal review is completed.\"<\/p><\/blockquote>\n Ist irgendwie nett ausgedr\u00fcckt, es war ein bl\u00f6der 'Design defekt', der die vertraulichen Daten von 885 Millionen Vertr\u00e4gen offen legte. Heise schreibt hier<\/a>, dass ein externes Forensik-Unternehmen jetzt best\u00e4tigen soll, dass es keinen Missbrauch gegeben habe.<\/p>\n Ist nat\u00fcrlich ein wunderbares Thema f\u00fcr heute, denn am 25. Mai 2018 trat in Deutschland die Datenschutzgrundverordnung (DSGVO) in Kraft. H\u00e4tten die Amerikaner so etwas, w\u00e4re das jetzt f\u00fcr die US-Firma \u00e4u\u00dferst unangenehm. Die deutsche 'App-Bank' N26 wurde beispielsweise gerade von der Datenschutzaufsicht zu 50.000 Euro Bu\u00dfgeld wegen Versto\u00dfes gegen die DSGVO verknackt<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Beim US-Immobiliendienstleister First American Financial Corp. waren vertrauliche Unterlagen von Immobilienk\u00e4ufern in den USA \u00fcber Jahre \u00f6ffentlich abrufbar, wenn man die URL kannte.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[951,4328],"class_list":["post-218464","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenskandal","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218464","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218464"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218464\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218464"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218464"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218464"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Datenleck\"](\"https:\/\/i.imgur.com\/nSGwKtD.jpg\" "\\"Datenleck\\"")
\n(Quelle: Pexels Mateusz Dach) <\/a><\/p>\n