Der Kopfhörer-Hersteller Sennheiser hatte aus Versehen einen Datensatz mit über 400.000 verschiedenen Dateien offen im Netz stehen lassen.
Der Audio-Riese Sennheiser hat ungewollt ein älteres Cloud-Konto falsch konfiguriert und nicht gegen einen Zugriff von außen geschützt. Obwohl das fragliche Konto seit Ende 2018 inaktiv zu sein scheint, waren offenbar mehr als 28.000 Sennheiser-Kunden betroffen. Darunter befanden sich sowohl Personen als auch Unternehmen aus aller Welt. Vom Leak waren auch unzählige private Daten sensibler Natur betroffen.
Sennheiser hatte AWS S3 Cloudspeicher falsch konfiguriert
Im fraglichen Fall nutzte Sennheiser ein S3-Bucket von Amazon Web Services (AWS), um die Kundendaten online zu speichern. S3-Buckets sind gemeinhin eine beliebte Cloud-Speicherlösung für Unternehmen. Sennheiser hat es leider versäumt, irgendwelche Sicherheitsmaßnahmen für sein S3-Bucket zu implementieren. In der Folge war der komplette Inhalt völlig ungeschützt und für jeden mit einem Webbrowser und oberflächlichen technischen Kenntnissen leicht zugänglich.
Die Sicherheitsproblematik wurde heute von vpnMentor, einer Tochtergesellschaft von Kape Technologies, bekannt gemacht. Die Daten betrafen den Zeitraum von Dezember 2015 bis März 2018. Es ging dabei um Informationen von 28.000 Sennheiser-Kunden. Insgesamt handelte es sich um 55 GB und um 407.000 einzelne Dateien, die von der Sicherheitslücke betroffen waren.
Sensible Daten für Cyberkriminelle von großem Interesse
Trotz des Alters der Daten wären diese für Cyberkriminelle sehr interessant gewesen. Auf Basis der sensiblen Informationen aus aller Welt hätte man leicht Identitätsdiebstahl, Steuerbetrug, Versicherungsbetrug, Postbetrug, Übernahme von Bankkonten, Debit- oder Kreditkartenbetrug, Hypothekenbetrug und vieles mehr durchführen können. Der Datensatz beinhaltet die vollständige Namen, E-Mail-Adressen und Telefonnummern der Personen. Dazu kommen die Namen, Anschriften und Anzahl der Mitarbeiter der Unternehmen, die bei Sennheiser Proben angefordert haben.
Sennheiser wurde Ende Oktober von den Sicherheitsforschern informiert, die über das Datenleck gestolpert waren. Das Unternehmen hat die Sicherheitslücke kurze Zeit nach Bekanntwerden geschlossen.