Mysteriöse Azure Datenbank von 80 Mio US-Haushalten ungesichert in der Cloud

3. Oktober, 2019
Mysteriöse Azure Datenbank von 80 Mio US-Haushalten ungesichert in der Cloud

Noam Rotem und Ran Locar sind Sicherheitsforscher und Hacktivisten und beschäftigen sich seit einiger Zeit mit einem groß angelegten Web-Mapping-Projekt. Dafür nutzen Sie bestimmte Port-Scanning-Techniken, die verschiedene bekannte IP-Blöcke und IP-Adressen untersuchen. Ihr Ziel ist es dabei, Schwachstellen und Datenlecks in vielen Dateien und Systemen zu finden, die in der Cloud abgelegt und im Internet öffentlich zugänglich sind. In einem Blogpost auf VPNMentor vom 29. April 2019 berichten Sie darüber, wie sie eine ungesicherte 24 GB große Datenbank auf dem Microsoft Cloudservice Azure entdeckt hatten. Darin waren unverschlüsselte Informationen von über 80 Millionen US-Haushalten gespeichert. Zu den persönlichen Informationen gehörten vollständige Namen, Alter, Familienstand, Einkommensgruppe und einige andere Details wie genaue GPS-Koordinaten des Wohnorts. Einige der Informationen waren als „codierte Verweise“ abgelegt. Die persönlichen Daten stammen allesamt von Menschen über 40 Jahren.

Die Forscher hatten vor, den Eigentümer der Datenbank zu identifizieren und ihn zu benachrichtigen. Sie haben daher die entdeckten Daten lediglich untersucht und nicht von Azure heruntergeladen, da dies als unerlaubter Besitz personenbezogener Daten ausgelegt werden könnte. Dies hätte sie höchstwahrscheinlich ohnehin nicht weitergebracht, denn es gab keinerlei Hinweise auf den Besitzer. Art und Umfang der gefundenen Daten ließ die Forscher jedoch vermuten, dass der Besitzer wahrscheinlich ein Unternehmen aus dem „Versicherungs-, Gesundheits- oder Hypothekenbereich“ ist. Sie konnten auch feststellen, dass der Server, der die Daten hostet, im Februar 2019 online gegangen war, aber nicht, wie lange die Daten dort ungesichert zugänglich waren. Die beiden Forscher konnten auch nicht feststellen, ob sich jemand Unbefugtes zwischenzeitlich daran zu schaffen gemacht hatte.

Cyberkriminelle mit Zugang zu dieser Datenmenge hätten damit lukrative Geschäfte mit Identitätsdiebstahl begehen können. Auch Ransomware-Angriffe wären eine denkbare Möglichkeit, da die Einkommensinformationen der Haushalte ihnen die Auswahl erleichtert hätte. In Fällen wie diesem müssen Hacker nicht in ein Computersystem eindringen. Sie können direkt auf solche ungesicherten Datenbanken zugreifen. Dazu müssten sie lediglich die IP-Adresse der entsprechenden Webseite finden, entweder zufällig oder wie die Forscher, durch spezielle Suchtools.

Aufgrund des veröffentlichten Blogpost wurde Microsoft auf den Fall aufmerksam, stellte den Server zuerst offline und benachrichtigten dann den Eigentümer. Wer sich dahinter verbirgt, wollte das Unternehmen jedoch nicht bekannt geben. Allerdings kommt Microsoft nicht umhin, die amerikanischen Behörden darüber zu informieren. Der Eigentümer der Azure Datenbank wird der Datenschutzbehörde sicherlich einige Fragen beantworten müssen und wohl auch mit entsprechenden Strafen rechnen können.

Fälle wie dieser kommen häufiger vor als allgemein vermutet. So bequem die Cloud ist für viele Nutzer, desto weniger machen sie sich Gedanken um die Sicherheit der dort abgelegten Daten. Experten gehen sogar so weit zu sagen, dass Cloud-Nutzer generell nicht über das Fachwissen verfügen, um die Daten auf mit dem Internet verbundenen Servern adäquat zu schützen. Anfang April dieses Jahres fand ein Forscher heraus, dass Patienteninformationen aus einem Suchtzentrum in einer ungesicherten Cloud-Datenbank ablagen. Ein anderer entdeckte eine öffentlich zugängliche riesige Cache an Facebook-Benutzerdaten, die von Drittanbietern abgespeichert worden waren. Anfang April fanden UpGuard Sicherheitsforscher heraus, dass zwei externe Facebook-Anwendungsentwickler die persönlichen Daten von Benutzern offengelegt haben, indem sie die 500 Millionen Datensätze ohne Passwortsicherung in ungesicherten Amazon Web Services S3-Buckets abgelegt hatten.

Noam Rotem wird auch oft fündig. In seinen Blogpost veröffentlicht er seine Funde regelmäßig. Zuletzt fand er eine ungesicherte Datenbank auf der chinesische E-Commerce-Website Gearbest. 1,5 Millionen Kundendaten, einschließlich Zahlungsinformationen, E-Mail-Adressen und anderer personenbezogener Daten waren dort für alle einsehbar gelagert. Rotem entdeckte im Januar mithilfe seiner speziellen Tools einen Sicherheitsfehler in dem Buchungssystem Amadeus. Fluggesellschaften nutzen dieses System sehr häufig. Angreifer hätte der Fehler ermöglicht, in Flugbuchungen einzusehen und sie zu ändern.

Derartige ungeschützte Cloud-Datenbanken sind offenbar ein recht häufiges Problem. Doch was ist schlimmer – ungeschützte oder gehackte Datenbanken? Es wundert, dass sich kriminelle Hacker nicht auf das Auffinden von solchen ungeschützten Clouddaten spezialisieren. Sie hätten es so einfach und wären dabei sogar recht sicher. Denn das Kopieren von frei zugänglich abgelegten Daten lässt sich nicht nachweisen.

Tim Erlin, Vizepräsident für Produktmanagement und Strategie bei Security biz Tripwire schiebt das Problem auch auf mangelndes Wissen unter Nutzern der Clouddienste. Er sagte gegenüber TheRegister:

„Es ist klar, dass Unternehmen nach so vielen Vorfällen keine Kontrolle über den Zugriff auf ihre in der Cloud gespeicherten Daten haben. Es geht hier nicht um einen Mangel an Tools, sondern um einen Mangel an Verständnis für und die Nutzung der verfügbaren Tools. Wenn Sie Daten in der Cloud speichern, können und sollten Sie die Zugriffsrechte für diese Daten kontinuierlich überprüfen.“

Artikel von digitaltrends.com, 30.04.2019: Data breach of unknown entity exposes private data of 80 million U.S. households
Artikel von bankinfosecurity.com, 30.04.2019: Mystery Database Exposed Info on 80 Million US Households
Artikel von cnet.com, 29.04.2019: Cloud database removed after exposing details on 80 million US households
Artikel von theregister.co.uk, 29.04.2019: FYI: Someone left 24GB of personal info on 80m US households exposed to the public internet

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen