In den vergangenen Wochen haben Sicherheitsforscher des Chaos Computer Clubs (CCC) mehr als fünfzig Datenlecks gemeldet. Betroffen waren staatliche Institutionen sowie Unternehmen aus diversen Geschäftsbereichen. Der CCC erklärt die häufigsten Ursachen trivial ausnutzbarer Datenlecks und gibt Tips zu deren Vermeidung.
Insgesamt hatten die Forscher Zugriff auf über 6,4 Millionen persönliche Datensätze. Betroffen waren Kundinnen, Fluggäste, Bewerberinnen, Patientinnen, Versicherte und Nutzerinnen sozialer Netzwerke.
Die außerdem gefundenen Terabytes an Log-Daten und Quellcode verblassten in Anbetracht der Menge an persönlichen Daten.
In keinem der über fünfzig Fälle wurden technische Zugangshürden überwunden. Vielmehr lagen die Daten auf ungeschützten Präsentiertellern:
In einigen Fällen wurden sensible Daten wie private Schlüssel und „access tokens“ für Cloud-Dienste auch in offen aus jedem Web-Browser zugänglichen Konfigurationsdateien bereitgehalten. In etwa der Hälfte der Vorfälle konnte unmittelbar auf personenbezogene Daten zugegriffen werden.
In mehr als der Hälfte der durch den CCC gemeldeten Fälle fand sich der Zugang zu sensiblen Daten über ungeschützte git-Repositories, meist wurden diese Daten von den Entwicklern oder Administratoren der Dienste dort unabsichtlich mit versioniert.
Solche geheimen Zugangsdaten in Git-Repositories sind zwar ein alter Hut, jedoch begnügten sich manche Entwicklerinnen nicht damit, sondern nahmen gleich noch Tabellen oder ganze Backups voller personenbezogener Daten in das ungeschützte Repository auf.
In einem Viertel der Fälle wurden die Daten via „Elasticsearch“ angeboten. Der Vorteil: Die Daten konnten direkt nach Passwörtern, Zahlungsdaten oder Adressen gefiltert werden, ohne erst umständlich den gesamten Datensatz herunterzuladen.
Bei den restlichen Fällen dienten zu gleichen Teilen ungeschützte MySQL-Server, Symfony Profiler und irrtümlich auf den öffentlichen Webservern mit ausgelieferte Konfigurationsdaten als Einfallstor.
Der CCC hat die Datenlecks jeweils unmittelbar nach dem Entdecken an die jeweiligen Verantwortlichen gemeldet. Die Vielfalt der Reaktionen war bemerkenswert. Positiv ist hervorzuheben, dass immerhin (soweit bekannt) in keinem der mehr als fünfzig Fälle Strafanzeige erstattet wurde. Danke.
„Dass sich kein einziger der Administratoren in betroffenen Unternehmen mit der Keule der Strafanzeige gerächt hat, ist angesichts des Gummi-Hacker-Paragraphs 202c erstaunlich“, sagte Matthias Marx, Sprecher des Chaos Computer Clubs. „Der CCC fordert schon seit langem die Abschaffung dieses für die IT-Sicherheit in Deutschland katastrophalen Paragraphen, an dessen Grenzen die Forscher sicher hart entlanggeschrammt sind.“
Zwei Unternehmen haben die im Zuge der freiwilligen Netzpatrouille wiederholt gemeldeten Sicherheitsschwankungen bisher ignoriert.
Drei Viertel der Verantwortlichen haben sich freundlich bedankt und die Schwachstelle behoben. Zehn Prozent haben überhaupt nicht geantwortet, aber immerhin die gemeldete Schwachstelle behoben.
Einige Unternehmen haben Belohnungen in Form von Sach- oder Geldspenden angeboten. Diese haben die Forscher des CCC unter anderem an Freifunk Rheinland, BUND Hamburg, FragDenStaat und C3 Teleshopping weitergeleitet. Der Rest fließt in den Betrieb von Freifunk-Equipment und Tor Relays.
Nicht in allen Fällen waren personenbezogene Daten betroffen. Bei brisanten Datenlecks wurden die zuständigen Landesdatenschutzbehörden oder auch das BSI informiert. Dem CCC ist indes von den meisten Verursachern bislang nicht bekannt, ob alle Betroffenen der jeweiligen Datenreichtümer korrekt informiert wurden. Nur aus drei Antworten ging ein solches Versprechen direkt hervor.
„Es ist ernüchternd, wie sorglos manche Unternehmen mit ihren Daten oder, schlimmer, den Daten ihrer Kundinnen umgehen“, meint Matthias Marx, Sprecher des Chaos Computer Clubs. „Immerhin wurde in den meisten Fällen schnell und professionell reagiert. Für die anderen hoffen wir, dass unsere Meldung der letzte notwendige Weckruf war.“
Die Mehrheit der Verantwortlichen reagierte zügig und den Umständen entsprechend verantwortungsbewusst. Einige der täglichen Abenteuer bei der Meldung von Sicherheitslücken wollten die Hacker des CCC der interessierten Öffentlichkeit jedoch nicht vorenthalten.
Durch Geheimnisse im git-Repository eines Dienstleisters erlangten die Forscher Zugriff auf „Passenger Name Records“ (PNR) samt Amadeus-Buchungsreferenzen. Davon stammte ein Teil von einer nicht mehr existierenden deutschen Airline aus dem Jahr 2014. Die übrigen Datensätze stammten von Passagierinnen einer „SkyTeam Airline“ aus dem Zeitraum Juni bis Dezember 2021. Positiv hervorzuheben ist, dass das betroffene Unternehmen besonders schnell auf unsere Meldung reagiert, die Daten offline genommen und konkrete Maßnamen zur Verhinderung zukünftiger Vorfälle ergriffen hat.
Zur Förderung der Kundinnentreue nutzt der Einzelhandel gern Treuekarten. In einem git-Repository fanden die Forscher gültige Zugangsdaten zu zwei Datenbank-Servern, die längst nicht mehr laufen sollten. Dort fanden sich Namen, Adressen, Geburtsdaten und Telefonnummern. Außerdem lagen dort Daten zu Gewinnspielen von 2016, für deren öffentliche Aufbewahrung kaum ein Anlass zu vermuten ist.
Eine offenbar kriminelle Person hatte Kreditkartendatensätze unzureichend gesichert auf einem Server in Frankfurt abgelegt. Pflichtbewusst wurde die örtliche Polizei informiert. Allerdings ist der Vorgang zunächst per Schneckenpost an die Polizei Hamburg weitergeleitet worden, so dass der Server auch einige Tage später noch online war. Zeitgleich konnten die Forscher beobachten, wie mehr und mehr gestohlene Kreditkartendaten auf dem Server gesammelt wurden. Daher meldeten sie den Vorfall dann auch dem Hoster, dem FBI und zwei großen Kreditkartenunternehmen. Wenige Stunden später war der Server nicht mehr erreichbar.
Gleich mehrere Zähne mussten einem Dienstleister für Zahnersatz gezogen werden. Neben Backup, Quellcode und Konfigurationsdaten wurden 3D-Gebissmodelle zum Download angeboten. Die Behandlung war aufwendig und konnte erst nach mehreren Besuchen abgeschlossen werden.
Ein Dienstleister für Personalvermittlung, dem führende Marken vertrauen, betrieb ein ungesichertes Elasticsearch. Darüber konnten die Forscher Stellenausschreibungen und dazugehörige Bewerbungen einsehen. Außerdem konnten sie nachvollziehen, aus welchen Gründen Bewerberinnen von den Personalvermittlern abgelehnt wurden.
Allen gemeldeten Fällen war gemein, dass sie leicht hätten verhindert werden können. Daher weist der CCC nochmal mit Nachdruck auf grundlegende Gepflogenheiten hin:
Für die Zukunft kündigte die Forschergruppe weitere Rundgänge zur stichprobenartigen Lernerfolgskontrolle im Internet an, da es sicherlich auch viele andere Interessierte gibt, deren Scripte schneller zuschlagen können und deren primäre Motivation nicht die Beseitigung der Lücken ist.
Diese Meldung wurde ermöglicht mit freundlicher Unterstützung von: