[English]Sicherheitsforscher sind im Internet auf einen ungeschütztem Elastiksearch-Server gestoßen, der 1,2 Milliarden Nutzerdaten aufwies. Diese Daten wurden aus Social Media-Kanälen abgezogen und mit Informationen von Datenbrokern ergänzt.
Anzeige
Ich bin durch einen Tweet des Sicherheitsanbieters Kaspersky auf diesen neuen Sicherheitsvorfall aufmerksam geworden.
Over a billion users data has been found online on an unprotected server.
Data includes email address, names, employment details and much more.
Read the full story: https://t.co/eT9X7VmHak pic.twitter.com/6kTJA3solv
— Kaspersky (@kaspersky) November 28, 2019
Da ist jemand auf eine gigantische Datensammlung mit Namen, E-Mail-Adressen und weiteren Daten gestoßen, die nach europäischem Recht schlicht illegal ist.
Details des Datenlecks
Die Datenbank, die am 16. Oktober von den Sicherheitsforschern Bob Diachenko und Vinny Troia entdeckt wurde, enthält mehr als 4 Terabyte an Daten. Diese Daten wurden aus abgezogenen Informationen aus Social-Media-Quellen wie Facebook und LinkedIn generiert.
Diese Informationen wurden mit Namen von Benutzern, persönlichen und beruflichen E-Mail-Adressen, Telefonnummern, Twitter- und Github-URLs und anderen Daten, kombiniert. Das sind Daten, die üblicherweise von Datenvermittlern – d.h. Unternehmen, die sich auf die Unterstützung gezielter Werbe-, Marketing- und Messaging-Dienste spezialisiert haben – zur Verfügung gestellt werden.
Die Profile bieten quasi eine 360-Grad-Sicht auf Einzelpersonen, einschließlich ihrer Beschäftigungs- und Bildungshistorie. Diachenko gibt an, dass praktisch jeder Mensch, der irgendwie im Internet aktiv war, in dieser Datenbank erfasst ist. Und alle diese Informationen waren ungeschützt, so dass für den Zugriff kein Login erforderlich war.
Datenbroker stecken dahinter
Die Untersuchung von Diachenko und Troia ergab, dass die Datensätze von zwei verschiedenen Datenbrokern (People Data Labs (PDL) und OxyData[.]io). stammen. Deren Geschäftsmodell ist es, sehr detaillierte Profile von Personen zusammenzustellen.
"Die Mehrheit der Daten umfasste vier separate Datenindizes mit den Bezeichnungen "PDL" und "OXY" mit Informationen über etwa 1 Milliarde Menschen pro Index", schrieben die Forscher. "Jeder Benutzereintrag in den Datenbanken wurde mit einem Quellfeld gekennzeichnet, das entweder PDL oder Oxy entsprach."
Anzeige
Nach der Benachrichtigung der Unternehmen betritten beide, dass der betreffende Server zu ihnen gehörte. "Um zu testen, ob die Daten zu PDL gehörten oder nicht, haben wir auf deren Website ein kostenloses Konto eingerichtet, das den Nutzern 1.000 kostenlose Abrufe pro Monat ermöglicht", erklärten die Forscher. "Die auf dem offenen Elasticsearch-Server entdeckten Daten entsprachen fast vollständig den Daten, die von der People Data Labs API zurückgegeben wurden. Zur Bestätigung haben wir 50 andere Benutzer stichprobenartig getestet und die Ergebnisse waren immer konsistent."
OxyData hat Diachenko inzwischen eine Kopie seines Profils geschickt, und auch diese Datenfelder stimmen überein. Die Forscher sind sich nicht sicher, wie die Daten in der jetzt geschlossenen Datenbank gesammelt wurden. Es könnte ein Kunde von PDL und OxyData gewesen sein. Denkbar wäre auch, dass die Daten von Hackern gestohlen und in der Datenbank abgelegt wurden. Der einzige Hinweis auf den Eigentümer des Servers war die IP-Adresse (35.199.58.125), und dass er in der Google Cloud gehostet wurde.
Datenschutzfragen tangiert
Neben dem Aspekt, dass die Daten ungeschützt auf dem Elasticsearch-Server per Internet abrufbar waren, wirft der Fall Datenschutzfragen auf. Erstens stellt sich die Frage der Haftung durch die Datenbroker (PDL und OxyData) gegenüber den Personen, deren Profile veröffentlicht wurden. Zweitens bleibt die Frage, ob die Sammlung und Anreichung der Daten, auch wenn die Informationen aus angeblich öffentlichen Quellen stammen, überhaupt zulässig ist. Im Sinne der DSGVO mit Sicherheit nicht, da die Betroffenen der Speicherung der Daten nicht zugestimmt haben. Das bleibt noch spannend – und es ist klar, dass die beiden Datenbroker alleine schon aus rechtlichen Gründen abstreiten, dass die Daten von ihnen stammen.
2015
Legal – Illegal – Egal!
Da kann man(n und frau) mal wieder sehen, wie die Umsetzung solcher Sachen wie der DSGVO vorgenommen wird, bzw. was diese bringen – nämlich unzureichend und nichts.
also 1,2 Mrd Nutzerdaten. Wie kann man diese bearbeiten? Es geht mit Zeit.
Es leben ca 5 -6 Mrd Menschen. Jetzt rechnet man weiter. Aber da diese aus sog". social…??" – Konten kommen, so dürfe die Vielfachlegung immens sein und es schränkt sich weiter ein.
"Es leben ca 5 -6 Mrd Menschen." …
ein wenig mehr sind es schon, nämlich über 7,6 bzw 7,7 Millarden
je nach Zähler
https://www.umrechnung.org/weltbevoelkerung-aktuelle-momentane/weltbevoelkerungs-zaehler.htm
https://countrymeters.info/de/World
Und für die Masse an Daten braucht man unbedingt schnellere Computer, wofür sonst?
;-)
Stimmt, ist mir danach auch eingefallen, dass 6 Mrd bisschen wenig sind. Ich erinnerte mich auch dann an einem Beitrag (irgendwo Anfang diesen Jahres), dass es wohl schon 8 Mrd sind.
Interessante Linkseite, 6 Mrd aber 1999. Ich ärgere mich immer dass die Zeit so schnell vergeht, vor allem morgens wenn ich aufstehe denke ich mir, dass man mal die Erdroation anhalten oder zurücksetzen sollte. Das muss man sich mal vorstellen: Die Deutschen werden immer weniger und der Rest immer mehr.