Ein Anbieter von Spyware für Verbraucher hinterließ eine riesige Menge an sensitiven, privaten Daten (einschließlich intimer Bilder und privater Gesprächsaufzeichnungen) überwachter Personen auf einem ungesicherten Server, der per Internet zugreifbar ist. Die Daten sind wohl noch immer erreichbar.
Anzeige
Motherboard berichtet in diesem Artikel über den aktuellen Fall. Das Ganze betrifft ein Unternehmen, das Spyware für Verbraucher anbietet. Mit der Software können Kunden die Anrufe, Nachrichten und alles, was auf einem Handys gemacht wird, ausspionieren. Die von der Spyware gesammelten Daten werden auf einen Server des Unternehmen hochgeladen.
Ein Administrator hat jetzt wohl eine ungesicherte Datenbank, die mehr als 95.000 Bilder und mehr als 25.000 Audioaufnahmen von solchen Überwachungen enthält, irrtümlich im Internet freigegeben. Die Datenbank ist für jedermann im Internet öffentlich zugänglich. Der exponierte Server enthält zwei Ordner mit allem, von intimen Bildern bis hin zu Aufnahmen von Telefonaten, da sich die App hauptsächlich an Eltern richtet.
Die exponierte Datenbank wurde von dem Sicherheitsforscher Cian Heasley gefunden, der Motherboard Anfang des Jahres 2019 kontaktierte. Der australische Sicherheitsforscher Troy Hunt (betreibt Have I Been Pwned?), analysierte die Datenbank und sagte, dass darin rund 16 Gigabyte Bilder und rund 3,7 Gigabyte MP3-Aufnahmen enthalten seien.
Die Leute von Motherboard haben Wochen damit verbracht, diese Schwachstelle dem Unternehmen offenzulegen, so dass die Daten gesichert werden. Anfragen an die offizielle Kontakt-E-Mail des Unternehmens blieb unbeantwortet. Eine Nachricht an die Gmail-Adresse des Administrators der Website, der auch der Gründer des Unternehmens zu sein scheint, ergab ebenfalls keine Antwort. Eine Sprachnachricht an eine Google Voice Nummer, die in den WHOIS-Daten der Website aufgeführt ist, bliebt ebenfalls ohne Antwort.
Anzeige
Die Datenbank ist noch online und ist seit mindestens sechs Wochen online. Bilder und Audioaufnahmen werden fast täglich hochgeladen. Motherboard hat sich entschlossen, das Unternehmen nicht benennen, um die Opfer zu schützen, die ohne ihre Zustimmung oder ihr Wissen ausspioniert werden, und darüber hinaus ihre Bilder und Anrufe auf einen Server hochgeladen bekommen, der für jeden mit einer Internetverbindung offen ist. Das Ganze ist nicht der erste Vorfall – in 2018 gab es wohl 12 ähnliche Vorfälle, wie man hier nachlesen kann.
Anzeige
DAS verstehe ich nun gar nicht.
Wozu gibt es Behörden, denen der Vorfall gemeldet werden kann. Die machen dann auch den notwendigen Druck.