In den vergangenen Wochen haben Experten vom Chaos Computer Club (CCC) über 50 leicht vermeidbare Datenlecks entdeckt. Insgesamt seien mehr als 6,4 Millionen persönliche Datensätze betroffen. Nicht alle verantwortlichen Staatseinrichtungen und Unternehmen sollen auf die Hinweise reagiert haben.

Gefunden haben die Sicherheitsforscher des CCC die Daten in offen zugänglichen Git-Repositories, ungesicherten ElasticSearch-Instanzen, via PHP-Entwicklungswerkzeug Symfony Profiler sowie in ungesicherten Datenbanken. Private Schlüssel und Access Tokens, die Angreifern meist die Erlangung weiterreichenden Zugriffs erlauben sollen, wurden dabei auch gefunden.

Die Hälfte der Datensätze umfasse neben Zugangsdaten, ganze Tabellen und Backups personenbezogener Daten in Git-Repositories, die von Entwicklern hochgeladen wurden. Zudem sei ein weiteres Viertel mit Elasticsearch durchsuchbar. Laut CCC-Meldung sei die Absicherung der Daten einfach: Mit bestimmten Werkzeugen sollen sich Git-Repositories etwa transparent verschlüsseln lassen, Access Tokens sollten stets wie Passwörter behandelt werden und in Testsystemen müssten keine echten Nutzerdaten verwendet werden. Zudem sollten Herstellerhinweise zur Sicherheit in Produktivsystemen berücksichtigt werden.

Drei Viertel der Betroffenen soll sich für die Hinweise bedankt und die Fehler behoben haben. Während weitere zehn Prozent zwar nicht reagierten, die Lücken jedoch abdichteten, sollen zwei Unternehmen die Warnungen komplett ignoriert haben.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE