TrueDialog Datenleck, Amazon, AWS
TrueDialog Datenleck, Amazon, AWS

Amazon AWS: Leak von Tausenden britischen Arbeitnehmerdaten

Tausende Daten von britischen Arbeitnehmern wurden online über einen Amazon Web Service Bucket geleakt. Forscher entdeckten sensible Daten.

Amazon. Tausende Daten von britischen Arbeitnehmern wurden online über einen Amazon Web Service Bucket geleakt. Die Forscher entdeckten Dateien, die mehreren Consulting-Firmen gehören. Schuld daran soll ein falsch konfigurierter AWS-Bucket Server sein.

Amazon AWS-Bucket hat man falsch konfiguriert

Es wird vermutet, dass die falsch konfigurierte S3-Ressource laut vpnMentor von einem Londoner Unternehmen namens CHS Consulting ohne Authentifizierung zugänglich war. Die betroffene Firma verfügt jedoch über keine eigene Website. Somit konnten die Forscher nicht bestätigen, dass die Datenbank, mit der Bezeichnung „CHS“, dem Unternehmen gehöre. Was sie wissen, ist, dass es Dateien aus den Personalabteilungen mehrerer britischer Beratungsunternehmen wie Eximius Consultants, Dynamic Partners und IQ Consulting enthielt.

Datenbank enthielt sensible Arbeitnehmerdaten

Die Datenbank bei Amazon enthielt Reisepass-Scans, Steuerunterlagen, Strafregisterinformationen und Hintergrundprüfungen. Dazu kommen E-Mails und private Nachrichten, einschließlich Namen, E-Mail- und Privatadressen, Geburtsdaten und Telefonnummern.

„Hätten Hacker diese Datenbank entdeckt, wäre sie eine Goldgrube für Betrug gewesen, mit potenziell verheerenden Folgen für die Betroffenen“ – So vpnMentor.

Die Forscher kontaktierten das CERT-UK am 10. Dezember, einen Tag nach der Entdeckung des Leaks. Sie setzten sich eine Woche später mit AWS in Verbindung. Einen Tag später, am 19. Dezember, ergriff der Cloud-Anbieter Maßnahmen zur Sicherung der Datenbank. Dies ist nur einer von mehreren Vorfällen. Bei diesen hat das Forschungsteam große Cloud-Datenbanken mit hochsensiblen persönlichen Daten entdeckt.

Unternehmen wie LightInTheBox, Yves Rocher und Autoclerk waren vom Amazon Leak ebenfalls betroffen. Bei einem Vorfall hat man die Namen, Telefonnummern und Finanzinformationen von ca. 20 Millionen Ecuadorianern, also fast der gesamten Bevölkerung, online geleakt.

Kleiner Tipp: Firmen wie Fortify bieten einen öffentlich zugänglichen Schwachstellen-Katalog an für AWS-Buckets etc. Doch diesen sollte man auch mal nutzen. ;)

Foto wir_sind_klein, thx!

Tarnkappe.info