Insgesamt hatten die Forscher Zugriff auf über 6,4 Millionen persönliche Datensätze. Betroffen waren Kundinnen, Fluggäste, Bewerberinnen, Patientinnen, Versicherte und Nutzerinnen sozialer Netzwerke.

Die außerdem gefundenen Terabytes an Log-Daten und Quellcode verblassten in Anbetracht der Menge an persönlichen Daten.

Immer die gleiche Leier: fehlender Zugangsschutz

In keinem der über fünfzig Fälle wurden technische Zugangshürden überwunden. Vielmehr lagen die Daten auf ungeschützten Präsentiertellern:

• in offen zugänglichen Git-Repositories, also Versionsverwaltungssystemen für Programmcode und Daten,
• in ungesicherten Elasticsearch-Instanzen, also „Cloud-Services“ zum Speichern und Durchsuchen von Nutzdaten,
• in den Nutzer-Interfaces von Symfony Profilern, einem Entwicklungswerkzeug für PHP
• und in sonstigen frei und ohne Authentifikation erreichbaren Datenbank-Servern.

In einigen Fällen wurden sensible Daten wie private Schlüssel und „access tokens“ für Cloud-Dienste auch in offen aus jedem Web-Browser zugänglichen Konfigurationsdateien bereitgehalten. In etwa der Hälfte der Vorfälle konnte unmittelbar auf personenbezogene Daten zugegriffen werden.

Geheimnisse in ungeschützten git-Repositories

In mehr als der Hälfte der durch den CCC gemeldeten Fälle fand sich der Zugang zu sensiblen Daten über ungeschützte git-Repositories, meist wurden diese Daten von den Entwicklern oder Administratoren der Dienste dort unabsichtlich mit versioniert.

Solche geheimen Zugangsdaten in Git-Repositories sind zwar ein alter Hut, jedoch begnügten sich manche Entwicklerinnen nicht damit, sondern nahmen gleich noch Tabellen oder ganze Backups voller personenbezogener Daten in das ungeschützte Repository auf.

Ungeschützte Datenhalden

In einem Viertel der Fälle wurden die Daten via „Elasticsearch“ angeboten. Der Vorteil: Die Daten konnten direkt nach Passwörtern, Zahlungsdaten oder Adressen gefiltert werden, ohne erst umständlich den gesamten Datensatz herunterzuladen.

Bei den restlichen Fällen dienten zu gleichen Teilen ungeschützte MySQL-Server, Symfony Profiler und irrtümlich auf den öffentlichen Webservern mit ausgelieferte Konfigurationsdaten als Einfallstor.

Ein bunter Blumenstrauß an Reaktionen

Der CCC hat die Datenlecks jeweils unmittelbar nach dem Entdecken an die jeweiligen Verantwortlichen gemeldet. Die Vielfalt der Reaktionen war bemerkenswert. Positiv ist hervorzuheben, dass immerhin (soweit bekannt) in keinem der mehr als fünfzig Fälle Strafanzeige erstattet wurde. Danke.

„Dass sich kein einziger der Administratoren in betroffenen Unternehmen mit der Keule der Strafanzeige gerächt hat, ist angesichts des Gummi-Hacker-Paragraphs 202c erstaunlich“, sagte Matthias Marx, Sprecher des Chaos Computer Clubs. „Der CCC fordert schon seit langem die Abschaffung dieses für die IT-Sicherheit in Deutschland katastrophalen Paragraphen, an dessen Grenzen die Forscher sicher hart entlanggeschrammt sind.“

Zwei Unternehmen haben die im Zuge der freiwilligen Netzpatrouille wiederholt gemeldeten Sicherheitsschwankungen bisher ignoriert.

Drei Viertel der Verantwortlichen haben sich freundlich bedankt und die Schwachstelle behoben. Zehn Prozent haben überhaupt nicht geantwortet, aber immerhin die gemeldete Schwachstelle behoben.

Einige Unternehmen haben Belohnungen in Form von Sach- oder Geldspenden angeboten. Diese haben die Forscher des CCC unter anderem an Freifunk Rheinland, BUND Hamburg, FragDenStaat und C3 Teleshopping weitergeleitet. Der Rest fließt in den Betrieb von Freifunk-Equipment und Tor Relays.

Nicht in allen Fällen waren personenbezogene Daten betroffen. Bei brisanten Datenlecks wurden die zuständigen Landesdatenschutzbehörden oder auch das BSI informiert. Dem CCC ist indes von den meisten Verursachern bislang nicht bekannt, ob alle Betroffenen der jeweiligen Datenreichtümer korrekt informiert wurden. Nur aus drei Antworten ging ein solches Versprechen direkt hervor.

„Es ist ernüchternd, wie sorglos manche Unternehmen mit ihren Daten oder, schlimmer, den Daten ihrer Kundinnen umgehen“, meint Matthias Marx, Sprecher des Chaos Computer Clubs. „Immerhin wurde in den meisten Fällen schnell und professionell reagiert. Für die anderen hoffen wir, dass unsere Meldung der letzte notwendige Weckruf war.“

Highlights

Die Mehrheit der Verantwortlichen reagierte zügig und den Umständen entsprechend verantwortungsbewusst. Einige der täglichen Abenteuer bei der Meldung von Sicherheitslücken wollten die Hacker des CCC der interessierten Öffentlichkeit jedoch nicht vorenthalten.

Ich weiß, wohin du letzten Sommer geflogen bist.

Durch Geheimnisse im git-Repository eines Dienstleisters erlangten die Forscher Zugriff auf „Passenger Name Records“ (PNR) samt Amadeus-Buchungsreferenzen. Davon stammte ein Teil von einer nicht mehr existierenden deutschen Airline aus dem Jahr 2014. Die übrigen Datensätze stammten von Passagierinnen einer „SkyTeam Airline“ aus dem Zeitraum Juni bis Dezember 2021. Positiv hervorzuheben ist, dass das betroffene Unternehmen besonders schnell auf unsere Meldung reagiert, die Daten offline genommen und konkrete Maßnamen zur Verhinderung zukünftiger Vorfälle ergriffen hat.

Daten auf einem Server, den niemand mehr nutzt.

Zur Förderung der Kundinnentreue nutzt der Einzelhandel gern Treuekarten. In einem git-Repository fanden die Forscher gültige Zugangsdaten zu zwei Datenbank-Servern, die längst nicht mehr laufen sollten. Dort fanden sich Namen, Adressen, Geburtsdaten und Telefonnummern. Außerdem lagen dort Daten zu Gewinnspielen von 2016, für deren öffentliche Aufbewahrung kaum ein Anlass zu vermuten ist.

Drehscheibe für Kreditkartendaten.

Eine offenbar kriminelle Person hatte Kreditkartendatensätze unzureichend gesichert auf einem Server in Frankfurt abgelegt. Pflichtbewusst wurde die örtliche Polizei informiert. Allerdings ist der Vorgang zunächst per Schneckenpost an die Polizei Hamburg weitergeleitet worden, so dass der Server auch einige Tage später noch online war. Zeitgleich konnten die Forscher beobachten, wie mehr und mehr gestohlene Kreditkartendaten auf dem Server gesammelt wurden. Daher meldeten sie den Vorfall dann auch dem Hoster, dem FBI und zwei großen Kreditkartenunternehmen. Wenige Stunden später war der Server nicht mehr erreichbar.

Lücken schließen.

Gleich mehrere Zähne mussten einem Dienstleister für Zahnersatz gezogen werden. Neben Backup, Quellcode und Konfigurationsdaten wurden 3D-Gebissmodelle zum Download angeboten. Die Behandlung war aufwendig und konnte erst nach mehreren Besuchen abgeschlossen werden.

Mehr Transparenz bei der Personalbeschaffung.

Ein Dienstleister für Personalvermittlung, dem führende Marken vertrauen, betrieb ein ungesichertes Elasticsearch. Darüber konnten die Forscher Stellenausschreibungen und dazugehörige Bewerbungen einsehen. Außerdem konnten sie nachvollziehen, aus welchen Gründen Bewerberinnen von den Personalvermittlern abgelehnt wurden.

Abhilfe wäre häufig einfach

Allen gemeldeten Fällen war gemein, dass sie leicht hätten verhindert werden können. Daher weist der CCC nochmal mit Nachdruck auf grundlegende Gepflogenheiten hin:

• Es ist nicht verboten, Passwörter zu verschlüsseln.
• Access-Tokens für Cloud-Dienste sind quasi Passwörter, erlauben aber Zugriff auf viel mehr als nur den Datensatz eines Benutzers. Sie sollten daher auch so behandelt werden.
• Testsysteme gehören nicht offen zugänglich ans Internet und brauchen oft nicht mit echten Nutzerinnendaten getestet zu werden.
• Backups, Logs und sensible Konfigurationsdateien gehören nicht in offen zugängliche Verzeichnisse auf Webservern.
• Oft würde es bereits genügen, Hinweise in der Dokumentation zu beachten:
  • Never enable the Symfony profiler in production environments.
  • The minimal security scenario is not sufficient for production mode Elasticsearch clusters.
  • Normally, root should only be allowed to connect to the database server from localhost.
• Zu guter Letzt müssen nicht mehr benötigte personenbezogene Daten ausnahmslos gelöscht werden.
• Daten, die gar nicht erst erhoben werden, können auch nicht verloren gehen.

Für die Zukunft kündigte die Forschergruppe weitere Rundgänge zur stichprobenartigen Lernerfolgskontrolle im Internet an, da es sicherlich auch viele andere Interessierte gibt, deren Scripte schneller zuschlagen können und deren primäre Motivation nicht die Beseitigung der Lücken ist.

Diese Meldung wurde ermöglicht mit freundlicher Unterstützung von:

• Advanced Flight Systems
• AIDA
• Aleph Manager
• Argus Data Insights
• arktis.de
• Aschehoug
• BMW
• Bundeswehr
• Crowdstaffing
• Dental Direkt
• Deutsche Bahn
• Deutsche Post
• Deutsche Telekom
• DPA
• einer kriminellen Person
• GeoDynamics
• GoYellow
• Hamburg Innovation
• Healthia
• Identify24
• Jaspravím
• kursplaner.online
• Landtag Niedersachsen
• LieferNetzwerk
• live-tracking.co.uk
• Lost and Found Software
• Lucas-Nülle
• MediaCompany
• MediaMarkt Saturn Österreich
• Merck & Co
• Mild Media
• Ministerie van Volksgezondheid, Welzijn en Sport
• Nestle
• Nielsen Media
• Nordrhein-Westfalen
• PassportScan.net
• Prisa
• Scaleflex
• sinartis
• Sparkasse Pfaffenhofen
• Storz & Bickel
• Streetscooter
• Sunday.gg
• Team Cymru
• Team Focus Insurance Group
• Testzentrum Robert-Koch-Apotheke Bremen
• Tonerzentrale
• TUV Nord Thailand
• Versdirekt
• Vimato
• Ypsilon.Net