Sennheiser legt Kundendaten über alte Cloud-Instanz offen

Sicherheit (Pexels, allgemeine Nutzung)Heute können wir das Türchen mit der Nummer 18 im Sicherheits-Adventskalender öffnen. Dahinter verbirgt sich ein veritables Datenleck. Der Datenschutzvorfall betrifft den Hersteller Sennheiser (Audio-Technik). Dieser hat ein altes Cloud-Konto ungeschützt im Internet belassen, so dass Dritte auf Kundendaten zugreifen konnten.


Anzeige

Sennheiser wurde 1945 von Dr. Fritz Sennheiser gegründet. Bis heute ist es ein privates, familiengeführtes Unternehmen mit Sitz in der Wedemark. Das Unternehmen stellt hochwertige Audiogeräte für den privaten und geschäftlichen Gebrauch her, darunter Mikrofone, Kopfhörer, Aufnahmegeräte und Headsets für die Luftfahrt. Sennheiser ist weltweit in über 50 Ländern vertreten, beschäftigt rund 2.800 Mitarbeiter und erwirtschaftete 2019 einen Jahresumsatz von 756,7 Millionen Euro.

Alte S3-Bucket auf AWS vergessen

Das Sicherheitsteam von vpn-Mentor, welches das Internet nach offenen Datenbanken durchforstet, stieß kürzlich auf eine alte Cloud-Instanz, übr die Sennheiser versehentlich Konto mit Kundendaten offengelegt hat. Sennheiser betrieb einen Amazon Web Services (AWS) S3-Bucket, in dem Daten verschiedener öffentlicher Aktivitäten gesammelt wurden. Insgesamt handelte es sich um 55 Gigabyte an Daten.

Sennheiser hat es versäumt, irgendwelche Sicherheitsmaßnahmen für seinen S3-Bucket zu implementieren, so dass der Inhalt völlig ungeschützt und für jeden mit einem Webbrowser und technischen Kenntnissen leicht zugänglich ist. Obwohl das fragliche Konto Daten von 2015 bis 2018 enthielt und seit 2018 inaktiv zu sein scheint, waren mehr als 28.000 Sennheiser-Kunden betroffen. Dieser Datenschutzvorfall betraf sensible private Daten wie:

  • Vollständige Namen
  • E-Mail-Adressen
  • Telefonnummern
  • Privatadressen
  • Namen der Unternehmen, die Proben anfordern
  • Anzahl der Mitarbeiter des anfragenden Unternehmens

Die am 26. Oktober 2021 entdeckten Daten waren zwar alt, sind aber immer noch wertvoll für Kriminelle und Hacker. Für Sennheiser stellt das Ganze einen DSGVO-relevanten Vorfall dar. Ein massives Versäumnis eines großen, multinationalen und bekannten Unternehmens.

Sennheiser informiert

Das Sicherheitsteam von vpnMentor konnte Sennheiser schnell als Eigentümer der Daten im ungeschützten S3-Bucket identifizieren. Denn in den Daten fanden sich Dateien mit dem Namen des Unternehmens und Sennheiser-Mitarbeiter, die in der Infrastruktur des Buckets aufgeführt waren. Die Sicherheitsforscher benachrichtigten Sennheiser über die Datenschutzverletzung. Sennheiser antwortete uns einige Tage später und bat um Einzelheiten. Nachdem die URL des ungesicherten Servers und weitere Einzelheiten an Sennheiser übermittelt wurde, wies der AWS-Server einige Stunden später einen Zugriffsschutz auf. Sennheiser meldete sich allerdings nicht zurück. Details des Vorfalls lassen sich hier nachlesen.

Artikel des Security-Adventskalenders
1. Microsoft Defender Version 1.353.1874.0 meldet fälschlich Trickbot/Emotet
2. Windows 10/11: Falle beim "trusted" Apps-Installer; Emotet nutzt das
3. Beispiele für Viren-Mails nach Übernahme eines Exchange-Servers
4. Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik
5. BSI-Empfehlung: Reagiert nicht auf SPAM-Mails
6. Android App Barcode Scanner Lite mit Trojaner – öffnet zufällige Webseiten
7. Cyberangriff auf SPAR-Lebensmittelgeschäfte in Yorkshire/England
8. Excel XLL-Addins für Malware-Installation missbraucht
9. Hellmann Logistics Opfer eines Cyberangriffs
10. Cloud-Dienste über USB-over-Ethernet-Schwachstellen angreifbar
11. Malware in Android Apps am Beispiel von GriftHorse
12. Azure Privilege Escalation durch Missbrauch der Azure API-Permissions
13. Phishing-Angriffe auf deutsche Kunden nutzen QR-Codes, um Bankdaten zu stehlen
14. Mirai Botnet Moobot zielt auf Hikvision-Kamerasysteme
15. Windows, TPM, MEM, und Intune: Hürden beim Motherboard-Wechsel
16: Häufige Login-Versuche an Routern (FRITZ!Box)
17: Insides zu Irelands Public Healthcare Ransomware-Fall
18: Sennheiser legt Kundendaten über alte Cloud-Instanz offen
19: Analyse, wie TeamTNT Docker-Hub-Konten kompromittiert
20: CPUID Enumerator and Decoder: Virenfrei, aber von Virustotal geflaggt
21: Google Play Protect: Bei Android-Sicherheitstests im Sommer 2021 durchgefallen
22: Tipps für mehr Schutz gegen Smishing-Attacken
23: BSI warnt: Erhöhte Bedrohung durch Ransomware-Angriffe zu Weihnachten
24: Google Zweifaktor-Authentifizierung (2FA), was man wissen sollte


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Sennheiser legt Kundendaten über alte Cloud-Instanz offen

  1. Herr IngoW sagt:

    Bei 700Millionen gewinn ist für die Sicherheit nicht viel drin, wer hätte das gedacht.
    Warum wundert mich das nicht. 🤔

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.