Daten von 80 Millionen US-Haushalten ungeschützt im Netz

[English]Es ist mal wieder eine Räuberpistole aus dem Land der unbegrenzten Möglichkeiten, jedenfalls was Dummheit und die Größe von Datenleaks betrifft. Es ist eine Datenbank ungeschützt im Netz aufgetaucht, die sensible Daten von 80 Millionen US-Haushalten enthält. Und kein Schwein weiß, wem die Datenbank gehört.


Anzeige

Eben ist eine Mail von den Sicherheitsspezialisten von vpnmentor mit folgendem Inhalt bei mir eingeschlagen:

BornCity's HELP REQUIRED – Hundreds of Millions of US citizens data leaked (Names and Income included)

I'm Lisa, a Research Team member at vpnMentor. Nice to e-meet you!

You might have heard about our previous reports, but this one is one of a kind. This time, we need your help.

There is currently a HUGE data breach that our ethical hackers found. It impacts hundreds of millions of US citizens. We can't know exactly who is leaking, but we hope you can help us spread the word. Maybe one of your readers will recognize the source of the leak and take care of it.

This is a serious matter, as two-thirds of US households are affected: chances are, we all know people on this list.

You can find all the info we have in our report. We hope that if we can spread the word, someone might recognize the database and together, we can help hundreds of millions of US citizens protect their privacy before an attacker finds the leak and takes advantage of it.

BornCity's readers need to know about this and help us fix it. Would you share the report with them on your page?

Das ist jetzt kein Fake oder Phishing-Versuch – denn Lisa schickt mir seit geraumer Zeit Benachrichtigungen, wenn deren Sicherheitsforscher auf neue Leaks gestoßen sind.

Das Schlamassel in Kompaktform

Das vpnmentor-Forschungsteam hat einen Hack entdeckt, der Daten von 80 Millionen US-Haushalten öffentlich macht. Die ungeschützte und 24 GB große Datenbank, die auf einem Microsoft Cloud-Server gehostet wird, wurden von den beiden Hackaktivisten Noam Rotem und Ran Locar entdeckt. Die Researcher von vpnmentor führen derzeit ein großes sogenanntes Web-Mapping-Projekt durch. Dazu verwenden die Forscher Port-Scanning, um bekannte IP-Blöcke zu untersuchen. Dabei werden offene Löcher in Websystemen aufgedeckt, die die Forscher dann auf Schwachstellen und Datenlecks untersuchen.

Dabei sind sie auf einem Microsoft Cloud-Server die ungeschützte und 24 GB große Datenbank gestoßen. Die muss wohl aus einem Hack oder sonst unbeabsichtigt auf den Server geraten sein. Die ungeschützte Datenbank, enthält sensitives Material von bis zu 65% der US-Haushalte. Zu den Daten gehören die Anzahl der in jedem Haushalt lebenden Personen mit ihren vollständigen Namen, ihrem Familienstand, ihrer Einkommensklasse, ihrem Alter und mehr.

Datenbank(Quelle: vpnmentor)

Es ist sogar vermerkt, ob eine Person Hauseigentümer ist. Aber es gibt keinen Hinweis, von wem diese Datenbank stammt. Der einzige Hinweis, dass diese Datenbank zu einer Art Dienst gehört, ist der Umstand, dass die Felder "member_code" und "score" jeweils in jedem Eintrag vorkommen.

Was derzeit anders ist – keine Ahnung wer Besitzer ist

Bei diesem Datenleck ist einiges anders, als bei bisherigen Lecks. Die Datenbank, die das Team entdeckt hat, enthält Informationen aus über mehr als 80 Millionen Haushalte in den Vereinigten Staaten. Da die meisten Haushalte mehr als einen Einwohner umfassen, könnte sich die Datenbank direkt auf Hunderte von Millionen von Personen auswirken.

Die Daten beinhalten einheitliche Angaben für mehr als 80 Millionen Haushalte, so dass eine Eingrenzung nahezu unmöglich ist. Der einzige Hinweis, den die Forscher fanden, war das Alter der Menschen: Trotz der Suche nach Tausenden von Einträgen konnten sie niemanden finden, der unter 40 Jahre alt war. Interessanterweise wird ein Wert für das Einkommen der Menschen angegeben (unbekannt ist, ob es sich um einen Code für ein internes Ranking-System, eine Steuerklasse oder einen tatsächlichen Betrag handelt).


Anzeige

Dies lässt die Hacktivisten vermuten, dass sich die Datenbank im Besitz eines Versicherungs-, Gesundheits- oder Hypothekenunternehmens befindet. Allerdings fehlen Informationen, die man in einer Datenbank im Besitz von Brokern oder Banken erwarten kann. Beispielsweise gibt es keine Vertrags- oder Kontonummern, Zahlungsarten oder Sozialversicherungsnummern.

Im Gegensatz zu früheren Lecks, die die vpnmentor Hacktivisten entdeckt haben, haben die Forscher diesmal keine Ahnung, wem diese Datenbank gehört. Die Datenbank wird auf einem Cloud-Server von Microsoft gehostet. Das bedeutet, dass die zugehörige IP-Adresse nicht unbedingt mit dem Besitzer assoziiert ist. Weitere Details sind dem vpnmentor-Beitrag zu entnehmen.

Bitte um Mithilfe zur Identifizierung des Besitzers

Die vpnmentor-Leute wenden sich nun an die Medien, um bei der Identifizierung des Besitzers der Datenbank zu helfen. Gesucht wird der Eigentümer dieser Datenbank, um diesen dann zu kontaktieren und mitzuteilen, dass deren ungeschützte Datenbank Millionen von Haushalten gefährdet.

Die Fragen der vpnmentor-Forscher: Welcher Service wird von 80 Millionen Haushalten in den USA – aber nur in den USA – und nur von Menschen über 40 Jahren – genutzt? Welcher Dienst erfasst zwar den Hausbesitzerstatus und die Wohnungstypen, aber nicht die Sozialversicherungsnummer der Eigentümer? Und welcher Dienst speichert zwar, dass eine Person verheiratet ist, aber nicht wie viele Kinder die Person hat?

Wer  helfen kann, den Eigentümer dieser Datenbank zu identifizieren oder weiß, wem die Datenbank gehört, kann die Forscher unter info@vpnmentor.com kontaktieren. Aus dem vpnmentor-Beitrag hat Heise hier noch ein paar Informationen in deutscher Sprache herausgezogen.

Ergänzung: Inzwischen hat mit eine Lesermeldung aus einem sozialen Netzwerk erreicht, wo vermutet wird, dass es eine Datenbank mit einer Umfrage der US Census-Behörde sein könnte – die Struktur der Datenbank bildet deren Umfrage-Fragen ab.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Daten von 80 Millionen US-Haushalten ungeschützt im Netz

  1. ??? sagt:

    …und aus welchen Gründen ist Microsoft nicht in der Lage, den Eigentümer der DB unter seinen Kunden festzustellen? Ist es nicht möglich, festzustellen, wer auf die DB zugreift, vor allem schreibend? Wird die DB gelöscht, wird sich wohl der Eigentümer bei Microsoft melden. Aber vermutlich sehe ich das als Leihe auch ein bisschen zu naiv ;-)

  2. Bernard sagt:

    Wo kann ich diese Datenbank downloaden?

    Vielleicht gehört diese der NSA und ist ein Honeypot?

  3. woodpeaker sagt:

    Was ist daran jetzt schlimm?
    Wer das System in den USA kennt, der weiß, dass diese Daten gegen kleines Geld jederzeit abrufbar sind.
    Die Amis sind so krank, dass man sogar erfahren kann wer wo und für wieviel Geld ein Haus gekauft hat, wer darin wohnt und wo derjenige vorher gewohnt hat. Und on the Top kann man noch den privaten Scorewert einer Person abfragen – entspricht unserem Schufa Score in etwa und das öffentlich!
    Also, wo ist das jetzt das Problem?
    Und sorry, was soll die dumm doofe Frage nach Hilfe zur Aufklärung von vpnmentor. Als ob bei uns hier die Glaskugel über den Tisch rollt.
    Das ist mal wieder typisch Amis!

  4. Hamigen sagt:

    Hat denn jemand geprüft, ob die Daten überhaupt echt sind, also reale Haushalte betreffen? Vielleicht handelt es sich ja um eine Simulation mit Testdaten?

  5. Roland Moser sagt:

    "…Beispielsweise gibt es keine Vertrags- oder Kontonummern, Zahlungsarten oder Sozialversicherungsnummern…"
    Die Datenbank könnte ein Auszug aus einer detaillierte Datenbank sein, zwecks Erstellung einer einfachen Statistik.

  6. Herr IngoW sagt:

    Ja in USA ist alles "great", da gibt es "keine" Geheimnisse und auch keine Daten-Leaks, das muss wascheinlich so. Oder man klagt damit nix rauskommt, wie grade geschehen gegen diverse Banken. Da gibt es dann doch wohl Geheimnisse.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.