Ungesicherter AWS-Server gibt 3 TByte Daten von Flughafenmitarbeitern preis
Es handelt sich um einen S3 Bucket ohne jegliche Authentifizierung. Forscher finden Fotos von Mitarbeitern, Namen und weitere persönliche Informationen. Der Betreiber des Servers reagiert erst nach zweimaliger Kontaktaufnahme durch die Forscher.
Der Sicherheitsanbieter SafetyDetectives hat einen ungesicherten AWS-Server entdeckt, auf dem sich rund drei TByte vertrauliche Personendaten von Mitarbeitern von Flughäfen in Kolumbien und Peru befanden. Der Server gehört dem in Schweden ansässigen Unternehmen Securitas, das wiederum selbst Sicherheitsservices anbietet.
Bei dem Server handelt es sich um einen S3 Bucket von Amazon Web Services (AWS), der von Securitas betrieben wird. Dort fanden die Forscher von SafetyDetectives mehr als eine Millionen Dateien – die ältesten stammten aus dem Jahr 2018.
Bei der Analyse der Daten identifizierten die Forscher vier Flughäfen: El Dorado International Airport, Alfonso Bonilla Aragón International Airport und José María Córdova International Airport in Kolumbien sowie den Aeropuerto Internacional Jorge Chávez in Peru. Der Server wiederum war so konfiguriert, dass für Zugriffe keinerlei Anmeldedaten abgefragt wurden.
Auf dem Server befanden sich zwei Datenbanken, die zu Securitas und den Flughafenmitarbeitern gehören. Unter anderem waren dort Ausweisfotos und diverse persönliche Informationen wie Namen, Ausweisnummern und Beruf abgelegt. Der Server diente aber auch als Speicher für zahlreiche Fotos von Flugzeugen und der Gepäcklogistik. Aus den EXIF-Daten der Fotos konnten die Forscher unter anderem Aufnahmedaten und in einigen Fällen auch Standortdaten extrahieren.
Die Forscher schließen nicht aus, dass der Vorfall auch weitere Unternehmen und Branchen betrifft. Securitas sei vor allem in Südamerika stark vertreten. Das schwedische Unternehmen informierten Sie am 28. Oktober 2021 über ihren Fund. Aber erst nach einer weiteren Kontaktaufnahme am 2. November erfolgte eine Reaktion des Unternehmens, die dann auch zu einer Absicherung des Servers führte. Securitas stand auf Nachfrage von ZDNet USA nicht für eine Stellungnahme zur Verfügung.