Sicherheitsforscher des Chaos Computer Clubs (CCC) haben nach einer sogenannten freiwilligen Netzpatrouille mehr als fünfzig Datenlecks an die jeweiligen Betroffenen gemeldet. Der Zugang zu den Daten sei, ohne technische Hürden überwinden zu müssen, etwa über Git-Repositories und Elasticsearch-Instanzen erfolgt.
Insgesamt hätten die Forscher des CCC Zugriff auf über 6,4 Millionen persönlicher Datensätze gehabt. Betroffen seien staatliche Institutionen und Unternehmen aus diversen Geschäftsbereichen gewesen, so der CCC. Es lagen Daten von Kunden, Fluggästen, Bewerbern, Patienten, Versicherten und Nutzern sozialer Netzwerke vor, heißt es weiter. Dass nebenbei auch Terabytes an Log-Daten und Quellcode gefunden worden sei, verblasse in Anbetracht der Menge an persönlichen Daten.
Zu den Fundstellen zählten neben offen zugänglichen Git-Repositories und ungesicherten Elasticsearch-Instanzen zum Speichern und Durchsuchen von Nutzdaten auch die Nutzer-Interfaces von Symfony Profilern, einem Entwicklungswerkzeug für PHP, lässt der CCC wissen. Auch frei und ohne Authentifikation erreichbare Datenbank-Server seien dabei gewesen. Sensible Daten wie private Schlüssel und „access tokens“ für Cloud-Dienste seien auch in offen mit dem Browser zugänglichen Konfigurationsdateien gefunden worden.
Das Hauptproblem habe, mit mehr als der Hälfte der Fälle, aber in ungeschützten Git-Repositories bestanden. Die sensiblen Daten seien dort von Entwicklern oder Administratoren der Dienste unabsichtlich mit versioniert worden, erläutert der CCC.
Die Daten über „Elasticsearch“ machten ein Viertel der Fälle aus. Der Vorteil laut CCC dabei, die Daten ließen sich konnten direkt nach Passwörtern, Zahlungsdaten oder Adressen filtern.
Bei den restlichen Fällen hätten zu gleichen Teilen ungeschützte MySQL-Server, Symfony Profiler und irrtümlich auf den öffentlichen Webservern mit ausgelieferten Konfigurationsdaten als Einfallstor gedient.
Der CCC hat die Datenlecks unmittelbar nach der Entdeckung an die jeweiligen Betroffenen gemeldet. Die Reaktionen seien unterschiedlich ausgefallen. Drei Viertel der Verantwortlichen hätten sich freundlich bedankt und die Schwachstelle behoben. Zehn Prozent hätten nicht geantwortet, aber die gemeldete Schwachstelle behoben. Zwei Unternehmen hätten weder geantwortet noch die Probleme behoben.
Mit einigen grundlegenden Maßnahmen hätten sich die Sicherheitslecks verhindern lassen, betont der CCC. Dazu zähle etwa, dass man Passwörter verschlüsseln kann und dass man Testsysteme nicht offen zugänglich ans Internet anbindet und nicht mit echten Nutzerdaten testet. Auch gehörten Backups, Logs und sensible Konfigurationsdateien nicht in offen zugängliche Verzeichnisse auf Webservern, schreibt der CCC in seiner Mitteilung.
