Sicherheitsspezialisten finden Datenbank mit 48 Millionen Profilen

Der Sicherheitsanbieter UpGuard ist auf eine Datensammlung mit 48 Millionen persönlichen Profilen gestoßen, die ungesichert auf einem Cloudserver abgelegt war. Die Daten waren offenbar von vielen verschiedenen Quellen abgeschöpft und zu umfangreichen Datenprofilen aggregiert worden. Das Datenhandelsunternehmen Localblox bestätigte, dass die Daten von ihm dort hinterlassen wurden.

Die Mega-Datei fand sich auf Amazon Web Services (AWS) “Diese Enthüllung ist nicht das Ergebnis eines raffinierten Hacks”, schreibt das Cyber Risk Team von UpGuard einem Blogeintrag. Demnach machte eine einfache Fehlkonfiguration eines S3 Storage Bucket “die Daten zugänglich für das gesamte Internet”.

Die entkomprimierte Datei hatte einen Umfang von 1,2 Terabyte. Die Profile enthielten im Klartext Namen, Wohnanschriften, E-Mail-Adressen, Telefonnummern, IP-Adressen, Geburtsdaten, Informationen über gegenwärtige und frühere Beschäftigungen – und weitere Daten, die persönlich zuzuordnen sind. Der im US-Bundesstaat Washington ansässige Datenhändler Localblox bewirbt seine Dienste damit, dass sie eine “echte 360-Grad-Ansicht der Menschen” geben und ihre Identität “von Offline zu Online” abgleichen.

Entdecker der Datensammlung war Sicherheitsforscher Chris Vickery, Direktor für Cyber Risk Research bei UpGuard, der schon länger auf das Auffinden von ungeschützten Servern im Internet spezialisiert ist. “In der Folge des Debakels um Facebook und Cambridge Analytica wird immer offensichtlicher, wie bedeutsam so umfangreiche Sätze psychografischer Daten sind”, kommentierte er.

Die riesige Datensammlung entstand offenbar vor allem durch Scraping, also das massenhafte Abgreifen persönlicher Daten durch automatisierte Zugriffe. Als Quellen dienten insbesondere Soziale Netze wie Facebook, Twitter und LinkedIn. Auch die Immobilien-Datenbank von Zillow floss mit ein. Die Benutzer selbst wurden nicht gefragt, und die ohnehin schwammigen Regularien der Websites beachten Scammer erst recht nicht. Darüber hinaus sind offenbar zugekaufte Marketing-Datenbanken sowie Informationen von Kreditvermittlern mit eingeflossen.

Localblox beruft sich darauf, vor allem öffentlich zugängliche Daten zu sammeln. In einem früheren Interview erklärte Localblox-Präsidentin Sabira Arefin ungerührt, es sei eben “Sache der einzelnen Sites und Systeme, die Bedingungen festzulegen, und dann entsprechende Sicherheitsmechanismen zu etablieren, wenn sie Scraping verhindern wollen”.

Von ZDNet.com befragte Unternehmen beteuerten, Scraping zu untersagen und auch dagegen vorzugehen. Facebook erklärte, das Scraping seiner Nutzerdaten sei verboten, und derzeit würden auch frühere Zugriffsmöglichkeiten aller Apps auf große Datenmengen untersucht. LinkedIn ging sogar schon gerichtlich gegen Website-Scraping vor. Laut Twitter ist das automatisierte Datenscraping von seiner Site “ohne unsere vorhergehende Zustimmung ausdrücklich verboten”. Zillow “arbeitet daran, Dritte am Scraping unserer Sites zu hindern”.

Insbesondere Facebook machte es Scrapern allerdings schon immer sehr leicht, auch an Daten zu gelangen, die seine Nutzer nicht an Fremde weitergeben wollten. So war standardmäßig aktiviert, dass jedermann mit Kenntnis von E-Mail-Adresse oder Mobilfunknummer eines Facebook-Mitglieds Informationen auslesen konnte. Scraping im ganz großen Stil wurde möglich über eine Facebook-API, wenn diese mit Listen von automatisch generierten Telefonnummern oder E-Mail-Adressen gefüttert wurde. Diese Revers-Suche stellte Facebook erst ab, als es nach dem Vorfall um Cambridge Analytica zunehmend unter politischen Druck geriet.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

21 Stunden ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago