Tellus Immobilien-Anwendung leaked Tausende sensible Benutzerdaten

Publiziert am 5. Juni 2020 von Günter Born

Eine im Immobilienbereich verwendete Anwendung hat ein Datenleck verursacht, über welches Tausende sensible Benutzerdatensätze und sensible private Nachrichten abgreifbar waren.

Anzeige

Die Sicherheitsforscher von CyberNews haben mich die Tage auf diesen Datenschutzvorfall aufmerksam gemacht. Bei einer Suche sind sie auf einen ungeschützten Amazon S3-Bucket gestoßen. Die AWS-Instanz gehört Tellus, einem US-amerikanischen Software-Unternehmen. Dessen App-Portfolio umfasst auch die Tellus App, ein Programm für Immobilienkredite, Management und Investitionen.

Ungeschütztes Amazon AWS S3-Bucket

Der von CyberNews entdeckte ungesicherte Datenbereich auf einem Amazon AWS S3-Bucket enthielt unter anderem 16.861 Benutzerdatensätze, Chat-Protokolle privater Nachrichten zwischen Tausenden von Tellus-Plattformbenutzern, Zehntausende mit Zeitstempel versehene Transaktionsdatensätze von Immobilienbesitzern sowie detaillierte Datensätze zu Mietern und Zahlungen. Dazu gehören auch Transaktionsmetadaten.

Die privaten Nachrichten in den Chat-Protokollen und den Mieterdateien enthalten nicht nur die Texte der Gespräche selbst, sondern auch sehr sensible Inhalte, darunter Dokumentenscans, Mietbeträge und Fälligkeitstermine, die Adressen der gemieteten Wohnungen der Mieter sowie Strafanzeigen und Termine von Gerichtsverhandlungen.

Unbekannt, wie lange die Daten öffentlich waren

Es ist derzeit nicht bekannt, wie lange die Daten ungeschützt blieben. Im schlimmsten Fall hätte das ungeschützte und unverschlüsselte Belassen des Tellus Amazon AWS S3-Bucket dazu führen können, dass die Daten der gesamten Tellus-Nutzerbasis über einen Zeitraum von bis zu zwei Jahren, von 2018 bis 2020, weiterhin ungeschützt geblieben wären.

Nachdem das CyberNews-Team das Unternehmen kontaktiert hatte, wurde das Sicherheitsproblem des AWS S3-Bucket am 15. Mai 2020 durch das Sicherheitsteam von Tellus behoben und die Daten sind nicht mehr zugänglich.

Gravierende Auswirkung des Datenschutzvorfalls

CyberNews weist darauf hin, dass die Auswirkungen auf Tausende von Amerikanern, deren Aufzeichnungen aufgedeckt wurden, erheblich sein könnten, speziell, wenn bestimmte Daten öffentlich zugänglich gemacht werden. Die Folgen könnten unter anderem Identitätsdiebstahl, Erpressung, Phishing-Angriffe und Online-Bankkonto-Hacks sein.

Ein Angreifer hätte Fotos von Personen, Scans persönlicher Dokumente, Angaben zu Rechnungen von Versorgungsunternehmen und sogar kriminalitätsbezogene Daten finden können. Er brauchte dazu nur die privaten Nachrichten zu lesen. Dann könnte er die Erkenntnisse für eine Vielzahl böswilliger Zwecken verwenden.

Weitere Einzelheiten zu den Forschungsergebnissen und zusätzliche Umfrageergebnisse finden Sie in diesem CyberNews-Artikel.

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.