Ungesicherter Amazon-S3-Server: Alteryx verliert Daten von 123 Millionen US-Haushalten

Der kalifornische Sicherheitsanbieter UpGuard hat einen weiteren ungesicherten Amazon-S3-Server entdeckt. Gemietet wurde der Server vom Analytics-Anbieter Alteryx, der dort persönliche Daten von 123 Millionen US-Haushalten speicherte. Einige der Daten gehörten auch Partnern des Unternehmens, darunter die US-Volkszählungsbehörde Census Bureau und der Kreditversicherer Experian.

Die 36 GByte große Datei mit dem Namen „ConsumerView_10_2013“ enthält einer Analyse von UpGuard zufolge mehr als 3,5 Milliarden Felder aufgeteilt auf 123 Millionen Zeilen. Da jede Zeile für einen US-Haushalt steht, ist praktisch jeder US-Bürger von dem Datenverlust betroffen. Jedes Feld wiederum soll persönliche Daten der in dem Haushalt lebenden Personen enthalten, darunter auch Informationen über die ethnische Zugehörigkeit.

Die Datensätze seien zwar nach anonymisierten IDs organisiert, die restlichen Daten seien aber so detailliert, dass eine Identifizierung von Haushalten möglich sei, so UpGuard weiter. Neben Anschriften und Kontaktdaten soll die Datei auch Angaben zu Hypotheken, der finanziellen Situation, dem Kaufverhalten sowie Inlandsreisen enthalten. Selbst Details wie bevorzugte Haustiere und sportliche Interessen soll die Datenbank enthüllen.

Wie schon in ähnlichen Fällen, die UpGuard öffentlich gemacht hat, hatte offenbar auch Alteryx die Sicherheitseinstellungen von Amazon S3 falsch konfiguriert. Ab Werk sei der Zugriff auf die gehosteten Daten auf autorisierte Nutzer beschränkt. Die Datenbank von Alteryx sei jedoch so konfiguriert worden, dass jeder authentifizierte AWS-Nutzer die Daten einsehen und herunterladen konnte. „Einfach gesagt, ein Dummy-AWS-Konto mit einer nur dafür erstellten E-Mail-Adresse reichte, um auf die Inhalte zuzugreifen“, ergänzte UpGuard.

Ein Sprecher von Experian betonte gegenüber Forbes, dass ausschließlich Alteryx für den Datenverlust verantwortlich sei. Systeme von Experian seien nicht darin verwickelt.

UpGuard informierte Alteryx bereits Anfang Oktober über den Konfigurationsfehler. Inzwischen wurde das Sicherheitsleck offenbar gestopft. Gegenüber Forbes spielte ein Sprecher von Alteryx den Vorfall jedoch herunter. Die Datei enthalte Marketing-Daten mit auf Modellen und Schätzungen basierenden Informationen. Sie stellten kein Risiko für einen Identitätsdiebstahl dar.

[mit Material von Asha McLean, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.