Websicherheit: Datenlecks durch backup.zip

Bei Recherchen von Golem.de stellte sich heraus, dass unzählige Webseiten Backupdaten versehentlich ungeschützt verfügbar machen. Der Angriff ist so simpel wie banal: Oft liegen gepackte Backup-Archivdateien unter Standarddateinamen wie backup.zip oder backup.tar.gz im Webverzeichnis.

Bei einem Scan von einer Million Webseiten der Alexa-Liste waren über 1.000 Seiten betroffen. In manchen Fällen handelt es sich um harmlose Daten, etwa statische Webseiten und Bilder, die sowieso öffentlich verfügbar sind. Doch unzählige Seiten geben in ihren Backups auch persönliche oder sicherheitskritische Daten preis.

Aufgrund der Vielzahl der betroffenen Seiten beschränkten wir uns bei der Analyse auf solche, bei denen die bereitgestellten Backupdateien besonders groß waren. Bei der Datingbörse Web-Amor war eine 57 GByte große Datei herunterladbar. Darin enthalten: 120.000 Profile von Nutzern - zwar ohne Klarnamen und Adressen, dafür aber mit Bildern.

"Haben Sie Wichtigtuer nichts Besseres zu tun?"

Wir haben den Betreiber der Webseite über den Vorfall informiert. Dieser entfernte die Datei zwar nach kurzer Zeit, reagierte aber ansonsten wenig freundlich. "Haben Sie Wichtigtuer nichts Besseres zu tun?", schrieb uns der Betreiber von Web-Amor zurück. Außerdem seien es Daten von 2012. In einer späteren E-Mail behauptete der Betreiber zudem, dass es sich nicht um persönliche Daten handele: "Da ist niemand betroffen, da stehen weder Echtnamen noch sonst irgendwas drin."

Das Büro des Thüringer Datenschutzbeauftragten wurde von uns ebenfalls über den Vorfall informiert und prüft die Sachlage zurzeit noch.

Da es für uns nicht praktikabel war, alle betroffenen Webseitenbetreiber manuell zu informieren, haben wir nur die Fälle mit besonders großen Dateien direkt kontaktiert. Bei allen anderen haben wir die Betreiber automatisiert über Abuse-Kontakte informiert. Außerdem haben wir die jeweils für das entsprechende Land zuständigen CERTs kontaktiert.

Das führte in einigen Fällen dazu, dass die Dateien entfernt wurden, einige der Betroffenen bedankten sich auch hierfür. Doch auch Wochen später waren von ursprünglich etwas mehr als 1.000 betroffenen Webseiten die Backup-Dateien bei über 700 Webseiten weiterhin abrufbar.

Offen abrufbare Dateien sind ein unterschätztes Risiko

Golem.de hat schon häufiger über ähnliche Sicherheitsrisiken berichtet. Die Deutsche Post machte 2017 versehentlich eine Mysql-Datenbank mit 200.000 Kundenadressen zugänglich. Öffentlich abrufbare Git-Verzeichnisse erlauben es, das gesamte Repository herunterzuladen. Dateien mit Metadaten von Apples Dateimanager Finder können Angreifern wertvolle Informationen liefern.

Mit dem vom Autor dieses Textes entwickelten Python-Skript Snallygaster kann man nach vielen derartigen Datenlecks suchen. Die Idee, nach Backup-Archiven zu suchen, stammt von Timon Engelke, einem Nutzer des Skripts, der dies als zusätzlichen Test anregte.

Wir haben für die Recherche dieses Artikels stichprobenhaft einige Daten untersucht. Wir haben nach dem Ende der Recherche sämtliche Daten wieder gelöscht und sind nicht mehr in deren Besitz.