Elastic-Search-Server gibt persönliche Daten von 57 Millionen Nutzern preis

Ein ElasticSearch-Server mit persönlichen Informationen von fast 57 Millionen US-Bürgern war offenbar über einen Zeitraum von zwei Wochen vollkommen ungeschützt im Internet erreichbar. Laut Bob Diachenko, Director of Cyber Risk Research beim Sicherheitsanbieter Hacken, war ein Zugriff auf den Server ohne Eingabe eines Passworts möglich. Er fand den Server mithilfe der Shodan-Suchmaschine.

Dem Forscher zufolge hielt der Server 73 GByte Daten vor. Mehrere Datenbanken wurden zudem im Arbeitsspeicher des Servers zwischengespeichert. In einer dieser Datenbanken waren die insgesamt 56.934.021 Daten von US-Nutzern, darunter Vor- und Nachnamen, E-Mail-Adressen, Anschriften, Postleitzahlen, Telefonnummern und IP-Adressen.

Der Server hielt aber noch eine zweite Datenbank in seinem Zwischenspeicher. Sie trug den Namen „Gelbe Seiten“ und gab Informationen über 25.917.820 Unternehmen preis wie Namen, Anschriften, Koordinaten, Telefonnummern und Angaben zu Umsatz und Zahl der Beschäftigten.

Diachenko selbst fand den Server am 20. November. Später stellte er fest, dass er bereits am 14. November von der Geräte-Suchmaschine Shodan indexiert wurde. Einen Eigentümer konnte er indes nicht eindeutig ermitteln. Es gebe aber Hinweise, dass die kanadische Datenfirma Data & Leads direkt oder zumindest indirekt mit den Daten verbunden sein könne. Auf seine Anfragen habe das Unternehmen nicht reagiert. Inzwischen sei aber die Website des Unternehmens abgeschaltet worden.

Außerdem ist der fragliche Server nicht mehr erreichbar. Unklar ist, ob es sich um einen Zufall handelt oder eine unmittelbare Reaktion auf Diachenkos Untersuchung. „Das genaue Datum, an dem der Server abgesichert wurde, ist nicht bekannt – er wurde einfach ein paar Tage nach unserer Entdeckung abgeklemmt.“

Eine Kopie der kompromittierten Daten stellte Diachenko dem Dienst Have I Been Pwned zur Verfügung. Nutzer können dort überprüfen, ob ihre Anmeldedaten von dem Vorfall – oder einem anderen Datenverlust – betroffen sind. Zudem können sie sich für einen Benachrichtigungsdienst registrieren, der sie informiert, sobald ihre Anmeldedaten in neu durchgesickerten Daten auftauchen.

ElasticSearch ist eine Suchmaschine auf Basis von Lucene. Nach Angaben ihres Herausgebers ist sie nur für den Einsatz in internen Netzwerken entwickelt worden – und nicht für mit dem Internet verbundene Server. Darauf machte Elastic schon im Jahr 2013 aufmerksam. Bei der Konfiguration des Servers wird demnach auch nicht automatisch die Vergabe eines Passworts verlangt. Als Folge kam es schon zu ähnlichen Vorfällen mit Servern von FitMetrix und einem brasilianischen Industrieverband.