Categories: Data

Post stellt MySQL-Datenbank mit 200.000 Adressdaten ins Netz

Bei der Post sind Daten von mehr als 200.000 Nutzern mehr oder weniger offen im Netz gestanden. Über das Portal umziehen.de können Personen nach einem Umzug eine Nachsende-Adresse eingeben. Eigentlich hinterlassen die Nutzer hier Informationen wie alte und neue Adresse, um weiterhin Briefpost zugestellt zu bekommen. Gleichzeitig werden Organisationen wie Versicherungen und Banken über die neue Adresse informiert.

Wie ein Sprecher der Post am Mittwoch mitteilte, konnte über einen einfachen Abruf praktisch jeder mit einem Internetzugang, die aktuellen Daten herunterladen. Dafür musste lediglich in die Adresszeile des Browser https://www.umziehen.de/dump.sql” eingegeben werden. Inzwischen ist das Problem behoben.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Der Sprecher entschuldigte sich für die Datenpanne, es sei derzeit nicht möglich nachzuprüfen, ob tatsächlich auch Daten abgefischt wurden. Auch sei inzwischen die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen von dem Vorfall informiert worden.

Die Panne sei entstanden, weil eine Sicherungskopie der Daten nicht wie vorgeschrieben gelöscht worden war. Laut Sprecher umfasst der Datensatz Namen, Mail-Adresse, Umzugsdatum sowie alte und neue Adresse.

Entdeckt hat das Leck der Zeit-Autor Hanno Böck, der auch bei anderen großen Webseitenbetreibern fündig geworden ist. So wurde im aktuellen Fall eine Sicherhungskopie mit der verbreiteten quelloffenen Datenbank MySQL angefertigt. In einer Dokumentation, in der das genaue Vorgehen beschreibt, wird ebenfalls der Dateiname “dump” verwendet. Offenbar wurde die Kopie exakt nach diesen Vorgaben erstellt und auf einem Server abgelegt. Dadurch konnte die Kopie dann auch über die Eingabe von dump.sql heruntergeladen werden.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

Böck habe in vielen weiteren weiteren Fällen mit solchen generischen Dateinamen Erfolg gehabt. So habe er auf mehr als 2.000 weitere Datenbanken zugreifen können und habe beispielsweise bei einer australischen Online-Apotheke 600.000 Kundendaten mit den entsprechenden Bestellungen herunterladen können. Laut eigenen Angaben habe Böck dann die Betreiber der Seiten informiert.

Böck erklärt, dass davon auszugehen sei, dass solche Datenbanken von Dritten abgeschöpft werden. Denn auf seiner eigenen Web-Seite registriere er immer wieder entsprechende Anfragen mit nicht öffentlichen Dateinamen in den Log-Dateien. Ob diese Versuche von Kriminellen oder von Sicherheitsforscher unternommen werden, lasse sich nicht sagen.

Loading ...
Redaktion

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago