[English]Bei der Social-E-Commerce-App 21 Buttons gab es gerade einen größeren Datenschutzvorfall. Sicherheitsforscher haben einen von der App verwendeten Cloud-Speicher gefunden, der öffentlich erreichbar war und persönliche sowie finanzielle Daten von 21 Buttons-Benutzern enthielt.
Anzeige
Was ist 21 Buttons?
Das in Barcelona, Spanien, angesiedelte Unternehmen 21 Buttons vermischt Online-Shopping mit Social Media. Nutzer posten Fotos von ihren Lieblingsoutfits mit Links zu den Marken, die sie tragen. Ihre Follower können dann ihre Lieblingsstücke direkt von den entsprechenden Marken in der App kaufen. Nutzer des 21 Buttons Rewards-Programms erhalten eine Provision für alle Käufe, die über ihre Profile getätigt werden.
21 Buttons ist in Europa schnell populär geworden, mit geschätzten 2 Millionen monatlich aktiven Nutzern im Jahr 2018 und Partnerschaften mit den größten Marken und Influencern auf dem Kontinent. Im selben Jahr sicherte sich 21 Buttons 17 Millionen US-Dollar an privaten Investitionen, um in die USA zu expandieren. Seit dem Start hat 21 Buttons 30 Millionen US Dollar an Finanzmitteln eingeworben.
Der Datenschutzvorfall
Die Information ist mir die Tage von vpnMentor zugegangen, die das Ganze in diesem Blog-Beitrag dokumentiert haben. Deren Team von Sicherheitsforschern ist auf einen falsch konfigurierten Amazon-Bucket gestoßen, der persönliche und finanzielle Daten von 21 Buttons-Benutzern enthielt.
Das Unternehmen speicherte über 50 Millionen Daten aus der App in einem falsch konfigurierten AWS-Cloud-Speicher-Bucket. In der Datenbanken fanden sich z. B. neben Social-Media-Posts und -Profilen auch Rechnungen mit persönlichen Daten und finanzielle Informationen der Benutzer (darunter bekannte europäische Influencer). Aus den Rechnungen gehen Informationen hervor, wie die Beträge, die Influencer auf der Plattform verdienen. Angereichert wird dies sensiblen persönlichen Daten dieser Leute wie deren vollständige Namen, Land des Wohnsitzes, Postleitzahl, Bankverbindung, nationale ID-Nummer und Paypal-E-Mail-Adresse.
Die Daten müssen zwischen August 2016 und Oktober 2020 öffentlich abrufbar gewesen sein. Wären diese Datensätze in die Hände von kriminellen Hackern gefallen, wären die Konsequenzen für die Betroffenen tiefgreifend gewesen. Die Sicherheitsforscher haben die offene Datenbank am 2. November 2020 gefunden uns sich sowohl an das Unternehmen als auch an Amazon gewandt, um diese über die Fehlkonfiguration zu informieren.
Termine, an denen die Anbieter kontaktiert wurden: 5. Nov., 12. Nov., 8. Dez. 2020
Datum, an dem Amazon kontaktiert wurde: 10. Nov., 8. Dez. 2020
Datum der Antwort: 22. Dez. 2020
Nach mehreren Versuchen, mit 21 Buttons in Kontakt zu treten (siehe obige Zeitangaben), haben die Sicherheitsforscher am 22. Dezember 2020 endlich eine Antwort von ihrem Kundensupport erhalten (über eineinhalb Monate seit dem ersten Kontaktversuch). 21 Buttons teilte mit, dass man die "Nachricht sofort an die entsprechende Abteilung" weiterleiten, die sich nach Prüfung unserer Angaben mit uns in Verbindung setzen würde. Zum Zeitpunkt der Veröffentlichung des Beitrags warten die Sicherheitsforscher immer noch darauf, kontaktiert zu werden. Bin mal gespannt, was aus dem Fall wird – denn das ist etwas für die Datenschutzaufsicht, da DSGVO-relevant.
2015
Wer sich massiv im Internet profiliert und wer Clouds nutzt, muss mit solch Dingen rechnen und leben.
Was hat denn die Datensicherheit, mit dem "sich massiv im Internet profilieren" zu tun?
Jeder kann erwarten, das mit seinen Daten pfleglich umgegangen wird.
Stell Dir mal vor, Deine Bank, das Finanzamt, Schufa würde diese Maßstäbe ansetzen: Du "profilierst Dich massiv im Internet" dann ist dieser Kunde nicht schützenswert. Hä?
Ich nutze (m)eine eigene Clouds. Daheim gehostet. Ich wüßte nicht, weshalb ich "mit sowas" rechnen müßte.
Mich würde aber viel mehr interessieren, ob es 'ne Liste der Influencer für die Öffentlichkeit gibt. Gerade auf YouTube sind die ganzen Spinner mit ihren "ich empfehle, ich mag, das finde ich toll" ein Graus. Und während es bei einigen Leuten sehr offensichtlich ist, wer da Werbung betreibt, ist das bei anderen (nicht ganz so auf den Kopf gefallenen) nicht immer so leicht ersichtlich.
Künstlernamen würden mir schon reichen, deren Körbchengröße und Wohnanschrift interessiert mich nicht die Bohne.