Amazon AWS: Leak von Tausenden britischen Arbeitnehmerdaten

Tausende Daten von britischen Arbeitnehmern wurden online über einen Amazon Web Service Bucket geleakt. Forscher entdeckten sensible Daten.

TrueDialog Datenleck

Tausende Daten von britischen Arbeitnehmern wurden online über einen Amazon Web Service Bucket geleakt. Die Forscher entdeckten Dateien, die mehreren Consulting-Firmen gehören. Schuld daran soll ein falsch konfigurierter AWS-Bucket Server sein.


Amazon AWS-Bucket wurde falsch konfiguriert

Es wird vermutet, dass die falsch konfigurierte S3-Ressource laut vpnMentor von einem Londoner Unternehmen namens CHS Consulting ohne Authentifizierung zugänglich war. Da die Firma jedoch keine Website hat, konnten die Forscher nicht bestätigen, dass die Datenbank, mit der Bezeichnung „CHS“, dem Unternehmen gehöre. Was sie wissen, ist, dass es Dateien aus den Personalabteilungen mehrerer britischer Beratungsunternehmen wie Eximius Consultants, Dynamic Partners und IQ Consulting enthielt.

Datenbank enthielt sensible Arbeitnehmerdaten

Die Datenbank enthielt Reisepass-Scans, Steuerunterlagen, Strafregisterinformationen und Hintergrundprüfungen,  E-Mails und private Nachrichten, einschließlich Namen, E-Mail- und Privatadressen, Geburtsdaten und Telefonnummern.

„Hätten Hacker diese Datenbank entdeckt, wäre sie eine Goldgrube für Betrug gewesen, mit potenziell verheerenden Folgen für die Betroffenen“ – So vpnMentor.

Die Forscher kontaktierten das CERT-UK am 10. Dezember, einen Tag nach der Entdeckung des Leaks. Sie setzten sich eine Woche später mit AWS in Verbindung. Einen Tag später, am 19. Dezember, ergriff der Cloud-Anbieter Maßnahmen zur Sicherung der Datenbank. Dies ist nur einer von mehreren Vorfällen, bei denen das Forschungsteam große Cloud-Datenbanken mit hochsensiblen persönlichen Daten entdeckt hat.

Unternehmen wie LightInTheBox, Yves Rocher und Autoclerk waren ebenfalls vetroffen. Bei einem Vorfall hat man die Namen, Telefonnummern und Finanzinformationen von ca. 20 Millionen Ecuadorianern, also fast der gesamten Bevölkerung, online geleakt.

Kleiner Tipp: Firmen wie Fortify bieten einen öffentlich zugänglichen Schwachstellen-Katalog an für AWS-Buckets und etc. Doch diesen sollte man auch mal nutzen. ;)

Tarnkappe.info

Beitragsbild wir_sind_klein, thx! (Pixabay Lizenz)

Autor bei Tarnkappe