Beim US-Immobiliendienstleister First American Financial Corp. waren vertrauliche Unterlagen von Immobilienkäufern in den USA über Jahre öffentlich abrufbar, wenn man die URL kannte.
Anzeige
Das berichtet Brian Krebs in diesem Artikel auf Krebs on Security. Hunderte Millionen an Dokumenten im Zusammenhang mit Hypothekengeschäften von US-Amerikanern, die bis in das Jahr 2003 zurückreichen, waren ohne Authentifizierung für jeden mit einem Webbrowser abrufbar. Es brauchte nur eine Mail des Unternehmens mit einem Link auf die eigenen Daten. Änderte man die Vertragsnummer, erhielt man Zugriff auf die Daten des jeweiligen Kunden.
Die digitalisierten Datensätze enthielten extrem vertrauliche Daten, einschließlich Bankkontonummern und Kontoauszüge, Hypotheken- und Steuerunterlagen, Sozialversicherungsnummern, Überweisungsbelege und Führerscheinbilder. Falls Gauner diese Daten in die Finger bekamen, war das das perfekte Material für einen Identitätsdiebstahl.
(Quelle: Pexels Mateusz Dach)
Krebs untersuchte die Geschichte nach einem Hinweis des Entwicklers Ben Shoval. Dieser hatte nach einem Vertragsabschluss eine Mail mit einem Link auf die eigenen Unterlagen erhalten. Ihm fiel auf, dass durch simple Änderung der Vertragsnummer in der URL Zugriff auf andere Verträge möglich waren. Der Entwickler hatte aber keinen Erfolg, als er das Unternehmen auf das Problem hinwies. Also ging die Information an Brian Krebs, der dann dem Thema nachging. Krebs konnte durch Änderung der Vertragsnummer auf die Daten von 885 Millionen Verträgen zugreifen. Stichproben ergaben, dass die Daten bis zu 16 Jahre in die Vergangenheit, d.h. ins Jahr 2003, reichten.
Krebs kontaktierte den Immobiliendienstleister. Das Unternehmen hat die Datenbank inzwischen vom Netz genommen. Die Antwort des Unternehmens:
"First American has learned of a design defect in an application that made possible unauthorized access to customer data. At First American, security, privacy and confidentiality are of the highest priority and we are committed to protecting our customers' information. The company took immediate action to address the situation and shut down external access to the application. We are currently evaluating what effect, if any, this had on the security of customer information. We will have no further comment until our internal review is completed."
Ist irgendwie nett ausgedrückt, es war ein blöder 'Design defekt', der die vertraulichen Daten von 885 Millionen Verträgen offen legte. Heise schreibt hier, dass ein externes Forensik-Unternehmen jetzt bestätigen soll, dass es keinen Missbrauch gegeben habe.
Ist natürlich ein wunderbares Thema für heute, denn am 25. Mai 2018 trat in Deutschland die Datenschutzgrundverordnung (DSGVO) in Kraft. Hätten die Amerikaner so etwas, wäre das jetzt für die US-Firma äußerst unangenehm. Die deutsche 'App-Bank' N26 wurde beispielsweise gerade von der Datenschutzaufsicht zu 50.000 Euro Bußgeld wegen Verstoßes gegen die DSGVO verknackt.
2015
