Der kalifornische Sicherheitsanbieter UpGuard hat einen weiteren ungesicherten Amazon-S3-Server entdeckt. Gemietet wurde der Server vom Analytics-Anbieter Alteryx, der dort persönliche Daten von 123 Millionen US-Haushalten speicherte. Einige der Daten gehörten auch Partnern des Unternehmens, darunter die US-Volkszählungsbehörde Census Bureau und der Kreditversicherer Experian.
Die 36 GByte große Datei mit dem Namen „ConsumerView_10_2013“ enthält einer Analyse von UpGuard zufolge mehr als 3,5 Milliarden Felder aufgeteilt auf 123 Millionen Zeilen. Da jede Zeile für einen US-Haushalt steht, ist praktisch jeder US-Bürger von dem Datenverlust betroffen. Jedes Feld wiederum soll persönliche Daten der in dem Haushalt lebenden Personen enthalten, darunter auch Informationen über die ethnische Zugehörigkeit.
Die Datensätze seien zwar nach anonymisierten IDs organisiert, die restlichen Daten seien aber so detailliert, dass eine Identifizierung von Haushalten möglich sei, so UpGuard weiter. Neben Anschriften und Kontaktdaten soll die Datei auch Angaben zu Hypotheken, der finanziellen Situation, dem Kaufverhalten sowie Inlandsreisen enthalten. Selbst Details wie bevorzugte Haustiere und sportliche Interessen soll die Datenbank enthüllen.
Wie schon in ähnlichen Fällen, die UpGuard öffentlich gemacht hat, hatte offenbar auch Alteryx die Sicherheitseinstellungen von Amazon S3 falsch konfiguriert. Ab Werk sei der Zugriff auf die gehosteten Daten auf autorisierte Nutzer beschränkt. Die Datenbank von Alteryx sei jedoch so konfiguriert worden, dass jeder authentifizierte AWS-Nutzer die Daten einsehen und herunterladen konnte. „Einfach gesagt, ein Dummy-AWS-Konto mit einer nur dafür erstellten E-Mail-Adresse reichte, um auf die Inhalte zuzugreifen“, ergänzte UpGuard.
Ein Sprecher von Experian betonte gegenüber Forbes, dass ausschließlich Alteryx für den Datenverlust verantwortlich sei. Systeme von Experian seien nicht darin verwickelt.
UpGuard informierte Alteryx bereits Anfang Oktober über den Konfigurationsfehler. Inzwischen wurde das Sicherheitsleck offenbar gestopft. Gegenüber Forbes spielte ein Sprecher von Alteryx den Vorfall jedoch herunter. Die Datei enthalte Marketing-Daten mit auf Modellen und Schätzungen basierenden Informationen. Sie stellten kein Risiko für einen Identitätsdiebstahl dar.
Report: State of Digital Transformation EMEA 2019
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
[mit Material von Asha McLean, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
Noch keine Kommentare zu Ungesicherter Amazon-S3-Server: Alteryx verliert Daten von 123 Millionen US-Haushalten
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.