Hunderte Millionen Datensätze zu Vertragsabschlüssen mit vertraulichen Informationen hat ein Dienstleistungsunternehmen für die US-Immobilienbranche offen auf seiner Website dargeboten. Über eine geeignete URL waren die Datensätze ohne Passwort zugänglich, die Vertragsnummer ließ sich beliebig ändern, berichtet IT-Sicherheitsspezialist Brian Krebs. Die Website ist mittlerweile offline genommen worden.

First American Financial ist ein Dienstleister für US-amerikanische Versicherungen und verwaltet die Unterlagen der Verträge zu Immobilienversicherungen und -käufen. Nach einem Hinweis des Entwicklers Ben Shoval untersuchte Krebs die Website des Unternehmens. Nach einem eigenen Vertragsabschluss hatte Shoval eine E-Mail von First American Financial mit einem entsprechenden Link zu seinen Dokumenten erhalten.

Dort entdeckte Krebs, dass etwa 885 Millionen Datensätze mit meist eingescannten Vertragsunterlagen frei zugänglich waren. Die Daten waren ohne Passwort nur über eine entsprechende URL erreichbar, die URL enthielt lediglich eine neunstellige Datensatznummer, die durch simples Erhöhen oder Verringern auf einen neuen Datensatz verwies. Vertrauliche Informationen wie Sozialversicherungsnummern, Führerscheindaten, Kontoauszüge und in manchen Fällen firmeninterne Dokumente, wenn der Vertragspartner ein Unternehmen war, enthielten die Vertragsunterlagen.

Das Unternehmen nahm, nach einem Hinweis von Krebs, die Website offline und teilte mit, dass ein "Design-Defekt" in einer Anwendung womöglich unautorisierten Zugriff auf Kundendaten erlaubt habe. Da "Sicherheit, Privatsphäre und Vertraulichkeit höchste Priorität" für das Unternehmen hätten, wurde sofort reagiert und analysiere den Vorfall nun. Das Unternehmen schreibt, "Wir untersuchen derzeit, welchen Effekt – und ob überhaupt – das auf die Sicherheit der Kundendaten hatte".

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE