Datenbank mit 48 Millionen Profilen frei im Netz verfügbar!

Es sind Daten von mehreren Millionen Menschen, die in sozialen Netzwerken, gesammelt worden sind und seit geraumer Zeit frei im Netz verfügbar sind.

Das Unternehmen localblox, welches die online und offline Welt der Kunden verspricht zu verschmelzen, bestätigt den Vorfall. Und dabei ist der letzte Fall von Datenmissbrauch nicht lange her.

Fehlkonfiguration eines Amazon Web Services mach 1,2TB Datei verfügbar.

Oft sind es nur die kleinen Einstellungen die eine große Wirkung haben. So war es auch bei dem Datensatz von localblox. Das im US-Bundesstaat Washington ansässige Unternehmen sammelt Daten und verkauft diese, verknüpft mit anderen Daten, weiter. Das Sicherheitsunternehmen UpGuard ist auf den Datensatz von 48 Millionen Profilen gestoßen. Dabei war dies jedoch kein spektakulärer Hack. Die Daten waren schlichtweg für jeden erreichbar. Ausgelöst durch die Fehlkonfiguration des AWS Buckets.

Die Datenhändler sind dafür bekannt systematisch nach öffentlichen Informationen zu suchen. Diese automatisierte Suche und das Abgreifen von Informationen wird auch „Scraping“ genannt. Dabei wird es „Sache der einzelnen Sites und Systeme, die Bedingungen festzulegen, und dann entsprechende Sicherheitsmechanismen zu etablieren, wenn sie Scraping verhindern wollen“. Das erklärte die Localblox-Präsidentin Sabrina Arefin in einem früheren Interview.

Und auch wenn diese Beschaffungsmaßnahme von Informationen bei den meisten Netzwerken unbeliebt ist, so war es bisher z.B. bei Facebook erstaunlich einfach. Der Besitz einer E-Mail Adresse oder Telefonnummer reichte schon aus um mithilfe der Facebook-API vollautomatisiert weitere Informationen in Erfahrung zu bringen. Seit dem Cambridge Analytica Fall ist dies nicht mehr möglich.

Oft stehen sensible Dateien frei im Netz verfügbar!

Die Fehlkonfiguration eines Servers ist längst kein Einzelfall. In häufigen Fällen reichen bereits Google Dorks aus um Informationen zu finden, die nur für interne Augen bestimmt waren. Im Fall von Localblox stehen nun die Klartext Namen, Wohnanschriften, E-Mail-Adressen, Telefonnummern und IP-Adressen der betroffenen Personen frei im Netz. Im Zuge der Einführung der Datenschutz Grundverordnung kann dieser Vorfall für Unternehmen die der europäischen Union angehören sehr kostspielig werden. Strafen in Höhe von bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes können für Unternehmen existenzbedrohend sein.

Die neue EU Datenschutzgrundverordnung (EU-DSGVO / GDPR)

Gerade mit dem aktiv werden der neuen EU Datenschutzgrundverordnung (EU-DSGVO / GDPR) am 25. Mai 2018 ist der Schutz der personenbezogen Daten wichtiger als jeher. Dies betrifft nicht nur die Authentifizierung, sondern alle personenbezogen Daten von Kunden, Partner, Mitarbeitern und Nutzern. Es drohen hohe Strafen. Eine Abmahnwelle ist zu befürchten. Daher haben wir von XignSys frühzeitig mit dem Thema neue EU Datenschutzgrundverordnung (EU-DSGVO / GDPR) auseinandergesetzt und unseren Identitätsprovider und unsere Authentifizierungslösung XignQR an die neuen Gegebenheiten angepasst.

Für Webseitenbetreiber und Unternehmen bieten wir nicht nur Unterstützung bei der Erstellung und Prüfung des Sicherheits- und Datenschutzkonzepts, sondern bieten ein Framework für die Authentifizierung as a Service (AuthaaS) und Identity as a Service (IDaaS) inkl. einer Multifaktor-Authentifizierungslösung (2-FA/ M-FA) mit der Sicherheit auf Banken-Niveau. Damit haben Webseitenbetreiber und Unternehmen die Möglichkeit die gesamte Authentifizierung und Verschlüsselung bei der Übertragung der Daten uns anzuvertrauen.

Darüber hinaus ist der XignQR Authentication Manager so konzipiert, dass auch die Datenhaltung, Nutzerauskunft und die Löschkonzepte der neuen EU Datenschutzgrundverordnung (EU-DSGVO/ GDRP) eingehalten werden. Auch bei der Speicherung von personenbezogen Daten unterstützten wir mit unserem Identity Provider gerne. Sie benötigen weitere Informationen, haben Fragen oder wollen XignQR einmal testen? Sprechen Sie uns an.

Der Beitrag Datenbank mit 48 Millionen Profilen frei im Netz verfügbar! erschien zuerst auf XignSys Blog.