Logo von heise online

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.682.435 Produkten

Jan Bundesmann 48

US-Kreditinstitut legt Kundendaten in öffentlich zugänglichem S3-Bucket ab

Verschlüsselung, Binär, Daten, Kryptographie

Bild: Gerd Altmann, Public Domain (Creative Commons CCo)

Die National Credit Federation bietet Hilfe für Menschen mit niedriger Kreditwürdigkeit an. Durch einen Fehler waren deren Daten allerdings für alle zugänglich in der Cloud ablegt.

Ein Konfigurationsfehler – kein Hack – machte die Daten von etwa 40.000 Kunden der National Credit Federation frei im Internet verfügbar. Zwar waren deutlich weniger Personen betroffen als beim großen Equifax-Hack, aber die Daten waren sensibler.

Anzeige

Chris Vickery, der wiederholt Datenlecks entdeckt hatte und seit April 2017 beim Security-Consulting UpGuard angestellt ist, fand am 3. Oktober einen öffentlich zugänglichen Objektspeicher S3 in der Amazon Cloud. Das erlaubte jedem, der die URL kannte, den Inhalt dahinter komplett herunterzuladen. In diesem Fall handelte es sich um 111 GByte mit Informationen über Kunden der National Credit Federation, die unter dem Motto "Fix Your Credit, Fix Your Life" anbietet, die Kreditwürdigkeit ihrer Kunden zu erhöhen.

UpGuard schätzt die Zahl der betroffenen Personen auf etwa 40.000. Im Rahmen des Programms Personalized Credit Repair sammelte das Unternehmen zum Beispiel die Berichte der großen Auskunfteien Equifax, Experian und TransUnion und legt sie in dem S3-Bucket ab. Auch andere persönliche Daten wie die Sozialversicherungsnummer und die Finanzhistorie der Kunden ließen sich herausfinden.

Delikat ist, dass zwar Equifax aus seinen Fehlern gelernt haben könnte, die weite Verbreitung der Daten aber offensichtlich eine Kontrolle schwierig macht. Amazon ist übrigens auch nicht frei von Verantwortung, hat aber inzwischen reagiert: Seit Anfang November warnt ein Indikator im AWS-Dashboard Kunden unter anderem davor, wenn sie einen S3-Bucket frei verfügbar ins Netz stellen. (jab)

48 Kommentare

Themen:

Anzeige
  1. Equifax schickt nach Datenklau Führungskräfte in den Ruhestand

    Equifax schickt nach Datenklau Führungskräfte in den Ruhestand

    Nach dem kolossalen Hack müssen der Informations- und der Sicherheitschef der großen US-Wirtschaftsauskunftei gehen.

  2. AWS stockt Serviceangebot auf

    AWS stockt Serviceangebot auf

    Auf dem AWS Summit Mitte August hat Amazon Web Services unter anderem Dienste zur Datenklassifikation, Migration sowie für Extract-, Transform- und Load-Aufgaben vorgestellt beziehungsweise für die Allgemeinheit verfügbar gemacht.

  3. Equifax-Hack: Angreifer über Apache-Struts-Lücke eingestiegen

    Equifax-Hack: Angreifer über Apache-Struts-Lücke eingestiegen

    Untersuchungen zeigen, dass Equifax es offensichtlich versäumt hat, Sicherheitsupdates für eine kritische Lücke zu installieren. Darüber hinaus ist es zu einem weiteren Datenleck gekommen.

  4. AWS re:Invent: Amazon lockt mit etlichen neuen Cloud-Angeboten

    AWS re:Invent: Amazon lockt mit etlichen neuen Cloud-Angeboten

    Mit über 32.000 Teilnehmern auf seiner re:Invent Konferenz in Las Vegas bricht Amazon Web Services Rekorde – eine bislang nicht gekannte Flut an Neuigkeiten trägt ihren Teil dazu bei.

  1. Serverless Computing, Teil 1: Theorie und Praxis

    Serverless Computing, Teil 1: Theorie und Praxis

    Nach IaaS, PaaS, BaaS und SaaS kristallisiert sich mit dem Akronym FaaS – Function as a Service – der nächste Evolutionsschritt der noch relativ jungen Cloud-Historie heraus. Laut Wunschvorstellung der Anbieter sollen Enterprise-Anwendungen zukünftig gänzlich ohne Server auskommen. Aber wie soll das funktionieren?

  2. 10 Must-Have Apps für deinen Amazon Fire TV

    Wenn du Tipps brauchst, welche Apps du auf deinem Amazon Fire TV oder Fire TV Stick installieren solltest, können wir dir weiterhelfen.

  3. Hackerangriff: So schützt du deine Online-Konten

    Hacker haben es vor allem auf deine Online-Zugänge abgesehen. Wir zeigen dir, wie du deine Online-Konten vor Angriffen und Schäden schützt.

  1. Nintendo Labo: Die Switch wird zum multifunktionalen Papp-Spielzeug

    Nintendo Labo: Die Switch wird zum multifunktionalen Papp-Spielzeug

    Ein Haus oder ein Klavier, eine Angel und ein ferngesteuerter Roboter: Mit Nintendo Labo lassen sich Papp-Konstruktionen basteln, die zusammen mit der Switch zum interaktiven Spielzeug werden.

  2. "Wenn die Linie fehlt ..."

    Impressionen von der diesjährigen Rosa-Luxemburg Konferenz in Berlin

  3. World Web Forum "Das Ende der Nationen": Jetzt im Livestream mitverfolgen!

    World Web Forum: Jetzt im Livestream mitverfolgen

    In Zürich beginnt das zweitägige World Web Forum – die Tickets sind längst ausverkauft. Dabei sein kann man aber trotzdem: heise online überträgt die Vorträge im Livestream.

  4. Fastfood ist eine Infektion des Körpers

    Auf die "westliche Ernährung" mit zu viel Fett und Zucker reagiert das Immunsystem durch das Auslösen einer Entzündung, die nach einer Studie auch anhalten könnte, wenn man sich wieder gesund ernährt

Anzeige