Sensible Daten und FBI-Daten ungeschützt im Web

Publiziert am 22. Januar 2019 von Günter Born

In den USA ist mal wieder ein Fall bekannt geworden, wo u.a. Untersuchungsdaten des FBI und weitere sensible Daten über einen Server des Oklahoma Department of Securities (ODS) ungeschützt im Web standen.

Anzeige

Regierungsdaten im satten Umfang von 3 Terabyte mit Millionen von sensiblen Dateien standen mindestens eine Woche lang unterschützt auf einem Speicherserver im Internet. Der Speicherserver gehört dem Oklahoma Department of Securities (ODS) – also den Sicherheitsbehörden des US-Bundesstaats Oklahoma, wie die Sicherheitsfirma UpGuard in einem Blog-Beitrag schreibt.

Der ungesicherte Speicherserver, der von Greg Pollock, einem Forscher der Cybersicherheitsfirma UpGuard, entdeckt wurde, enthielt auch vertrauliche Fallakten der Oklahoma Securities Commission und viele sensible FBI-Untersuchungen, die über einen Zeitraum von Jahrzehnten gesammelt wurden. Der Server stand für weit offen und war für jedermann ohne Passwort zugänglich.

Unter den offen liegenden Dateien befanden sich auch Sozialversicherungsnummern, E-Mails, Namen und Adressen von 10.000 Maklern, Zugangsdaten für den Fernzugriff auf ODS-Arbeitsplätze sowie Mitteilungen für die Oklahoma Securities Commission. Besonders brisant: Es gab auch eine Liste über AIDS-Patienten mit identifizierbaren Informationen zu diesen Personen.

Dateien(Quelle: Upguard)

Während der Forscher nicht genau weiß, wie lange der Server für die Öffentlichkeit zugänglich war, meldete die Shodan-Suchmaschine, dass der Server seit mindestens dem 30. November 2018 öffentlich zugänglich war. Pollock entdeckt den Server fast eine Woche später, am 7. Dezember 2018.

Das UpGuard-Forschungsteam informierte die ODS-Abteilung am nächsten Tag, und die staatliche Behörde sperrte den "öffentlichen Zugang" zum ungesicherten Pfad auf den Speicherserver unmittelbar nach der Benachrichtigung. Aktuell ist noch unklar, ob unbefugte Dritte auf den ungesicherten Server zugegriffen haben. Details sind im UpGuard-Blog-Beitrag sowie in diesem The Hackers News-Artikel nachzulesen.

Das wirft natürlich die Frage auf: Wenn Sicherheitsbehörden des Staates solche Kapitelfehler unterlaufen, wie ist es denn um die Sicherheit von anderweitig vom Staat gesammelten Daten bestellt? Ich denke da vor allem an die Diskussion zur elektronischen Patientenakte in Deutschland (siehe Linkliste).

Ähnliche Artikel:
Nächstes Sicherheitsdesaster bei Vivy-Gesundheits-App
CDU-Staatssekretär möchte Datenschutz schleifen
CDU-Strategiepapier: Datensammelparadies für die Wirtschaft
Elektronische Patientenakte: Bär will Datenschutz schleifen

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.