Amerikas Wählerverzeichnis in der Wolke – ungeschützt

Die Amerikaner und ihre Präsidentschaftswahlen sind alle vier Jahr im Schein der Weltöffentlichkeit. Fast jeder weiß, dass die Schlachten der Parteien um die Gunst der amerikanischen Wähler gigantisch sind. Wie ausgeklügelt es wirklich ist, wissen aber nur wenige. Etwas mehr Wissen zu diesem Vorgehen kam nun vor kurzem ans Tageslicht.

Per Zufall entdeckte Chris Vickery eine riesige, frei zugängliche Datenbank in einem Cloudspeicher. Die Datenbank in einem Amazon Cloud-Konto gehörte der Datenanalysefirma Deep Root Analytics. Chris Vickery ist ein Sicherheitsforscher bei UpGuard, spezialisiert auf Datensicherung. Er wurde im letzten Jahr bereits bekannt durch das Auffinden des Wählerverzeichnisses von 87 Mio. Mexikanern und verschiedener amerikanischer Wählerverzeichnisse. Beide Datensammlungen waren ungenügend gesichert gegen unbefugten Zugriff.

Die riesige Datenbank die Vickery nun per Zufall entdeckte, enthielt Daten von fast 200 Mio. amerikanischen Wählern. Nicht nur persönlich Eckdaten, sondern auch Analysen über Wählerstimmungen zu verschiedenen Themenbereichen. Deep Root Analystic hatte sie im Auftrag der Partei der Republikaner erhoben und analysiert. Die Partei nutzte die Daten daraus, um im Wahlkampf TV-Werbung effektiv und zielgerichtet zu buchen.

Deep Root hatte den über 25 Terrabyte großen Datensatz aus Versehen ohne Passwortschutz in einen öffentlichen Amazon-Cloudserver abgelegt. Einer der Datensätze in einer Größenordnung von etwas über einem Terabyte konnte jedoch von jedermann heruntergeladen werden. Dass es tatsächlich ein Versehen war, bestätigt sich darin, dass die anderen Datensammlungen im gleichen Server alle gut verschlüsselt und damit unzugänglich abgelegt worden waren. Das Unternehmen hat sich bereits für seinen Lapsus öffentlich entschuldigt und die fehlerhafte Konfiguration umgehend behoben.

Dennoch standen die Daten 12 Tage lang frei zugänglich für jeden zufälligen Finder in der Amazon-Cloud. Hackingkenntnisse – nicht nötig! Die URL der Cloud-Datenbank reichte aus für den Zugang. Ein Einblick in Analysedaten vieler Millionen Amerikaner wäre möglich gewesen. Und derartige Daten in den falschen Händen… jeder kann sich ausmalen was damit angerichtet werden kann. Datensammlungen bieten immer die Gefahr gestohlen zu werden, insbesondere, wenn sie nicht oder nicht gut genug gesichert werden. Je größer die Datenmengen sind, desto risikoreicher ist es. Und da draußen in der Cyberwelt ist immer irgendjemand der daraus Kapital schlagen möchte und kann.

Dabei gibt es mittlerweile viele Möglichkeiten die Daten in der Cloud ordentlich zu sichern. Datenschützer bieten gute Tools an, um die Sicherheit derartiger Datenspeicher zu überprüfen. Michael Baukes, Geschäftsführer bei UpGuard sagte,

„Menschliches Versagen begegnet uns überall. Und wenn man nicht versteht mit was man es zu tun hat, dann kann man auch nicht die Prozesse kontrollieren, die das Risiko schützen.“

Seine Firma warnt viele Unternehmen vor den Gefahren nicht ordnungsgemäß gesicherter Clouddaten. Allerdings, stoße das sehr häufig auf taube Ohren, ergänzte Baukes.

Artikel von zdnet.com, 19.06.2017: 198 million Americans hit by ‚largest ever‘ voter records leak
Artikel von wired.com, 19.06.2017: The Scarily Common Screw-Up That Exposed 198 Million Voter Records

Auch Verizon Kundendaten lagen ungeschützt in der Wolke

Chris Vickery ist wieder fündig geworden – diesmal fand er eine in der Amazon Cloud ungeschützt abgelegte umfangreiche Datensammlung des großen US-Mobilfunkbetreibers Verizon. Über 20 Terabyte an Daten von etwa 14 Millionen Verizon-Kunden waren dort frei zugänglich für jedermann, der sie zufällig fand. Ein externer Dienstleister hatte die Informationen für Verizon auf dem Amazon Server abgespeichert. Nur dummerweise hatte dieser vergessen, die Zugriffsrechte zu sichern. Das israelische Unternehmen für Sicherheitssoftware NICE, war von Verizon mit dieser Datensicherung beauftragt worden. Im Großen und Ganzen hatte NICE seine Aufgabe zwar ordnungsgemäß ausgeführt, allerdings diese eine große Datensammlung vergessen. Das ist schon schlimm genug und da hilft auch kein Abwiegeln, dass es völlig unwichtige Kundendaten waren. Abgewiegelt hat Verizon sehr schnell – es gäbe nichts zu sehen, niemand hätte etwas gesehen außer Vickery und es wäre auch zu keinem Datendiebstahl gekommen.

UpGuard nutzt auch diesen Vorfall wieder, um Aufmerksamkeit auf die Wichtigkeit guter Sicherung sensibler Daten zu lenken. Nicht nur seien Drittanbieter ein Risikofaktor. Besorgniserregend sei, wie lange es gedauert hätte, die offenliegenden Daten endlich zu schützen. UpGuard hatte Verizon darüber am 13. Juni informiert und die Daten waren erst am 22. Juni ordnungsgemäß gesichert.

NICE selbst hatte zunächst keine Stellung genommen zu seinem vermeintlichen Patzer. Es reagierte jedoch mit etwas Verzögerung gegenüber UpGuard so auf die Vorwürfe:

„Die veröffentlichten Berichte verwechseln irrtümlich einen menschlichen Fehler bei einem Projekt mit ungenauen ehemaligen Berichten. Diese beziehen sich ausschließlich auf ein Geschäft, das NICE vor einigen Jahren veräußert hat und nun nichts mehr mit unserem Geschäft zu tun hat.

Dieser menschliche Fehler bezieht sich nicht auf irgendwelche unserer Produkte. Auch nicht auf unsere Produktionsumgebungen noch auf deren Sicherheitsniveau. Es bezieht sich nur auf einen isolierten Bereich mit begrenzten Informationen für ein bestimmtes Projekt“.

Rich Campagna, CEO von Bitglass, sprach in diesem Zusammenhang von Bedeutung von Sicherheitsteams. Er sagte, es sei wichtig, dass IT-Sicherheitsteams die Dienste sicher konfigurieren. Solche riesigen Datenlecks könnten durch den Einsatz spezifischer datenzentrischer Sicherheitstools vermieden werden.

Artikel von theregister.co.uk, 12.07.2017: 14 MEEELLION Verizon subscribers‘ details leak from crappily configured AWS S3 data store
Artikel von darkreading.com, 12.07.2017: Verizon Suffers Cloud Data Leak Exposing Data on Millions of Customers

Kundeninfos des Dow Jones Verlagshauses öffentlich in der Cloud

Anfang Juni stieß Chris Vickery von der Sicherheitsfirma UpGuard wieder auf frei zugänglich abgelegte Daten eines Unternehmens in der Amazon Cloud. In diesen Junitagen war er in der Tat ein viel beschäftigter Mann, oder er hatte einfach den Dreh raus, wie falsch konfigurierte Cloudspeicher aufzuspüren sind.

Vickery fand dieses Mal Daten von einigen Millionen Kunden des amerikanischen Verlagshauses Dow Jones. Diese waren praktisch ungeschützt vor unberechtigtem Zugriff auf Amazon Cloud abgelegt worden. Das Verlagshaus wurde umgehend informiert und es bestätigte sogleich den Vorfall, der ursächlich durch einen internen Konfigurationsfehler entstanden war. Gleichzeitig hatte es auch hier keine Hinweise darauf gegeben, dass Dritte mit böswilligen Absichten die frei zugänglichen Informationen missbraucht hätten.

Dow Jones & Co. bestätigte, dass die Cloud-Datenbank Kundennamen, Anwendernamen, E-Mail und postalische Adressen sowie die letzten vier Ziffern der Kreditkartennummern der Kunden enthielt. Allerdings waren allen Datensätzen keine Passwörter zugeordnet. Laut einem Sprecher des Unternehmens wäre das Missbrauchsrisiko daher relativ gering einzuschätzen. Der Konfigurationsfehler wurde in weniger als zwei Stunden korrigiert.

UpGuard konterte allerdings, dass solche Kundeninformationen durchaus missbraucht werden könnten. Es erwähnte hier die populären Phishingangriffe. Derartige Phishing-E-Mails könnten durchaus auf bestimmte Zielgruppen maßgeschneidert werden.

Wird Amazon Cloud-Datenspeicher versehentlich derart konfiguriert, bekommt er sozusagen einen halb-öffentlichen Zugriff. Damit könnte quasi jeder authentifizierte Kunde des Amazon Web Services die Daten herunterladen. Das gilt übrigens auch für jeden Kunden, der über ein kostenloses Amazon AWS Konto verfügt.

Artikel von cloudsec.com, 17.07.2017: Dow Jones Inadvertently Exposed Some Customers’ Information

Beitragsbild: (c) by Shutterstock.com