Datenpanne in Ecuador – öffentliche Datenbank enthielt knapp 21 Millionen Einträge

Bis vor Kurzem standen persönliche Informationen – teils sehr sensibler Natur – über praktisch alle Einwohner Ecuadors im Internet zur freien Einsicht

Ein Kommentar von Andreas Müller, Regional Director DACH bei Vectra

[datensicherheit.de, 16.09.2019] Vectra, Anbieter von IT-Sicherheitsplattformen auf Basis künstlicher Intelligenz und maschinellen Lernens, hat die aktuelle Berichterstattung ausgewertet. Stellvertretend für das Unternehmen kommentiert Andreas Müller, Regional Director DACH (Deutschland, Österreich & Schweiz) den aktuellen Vorfall:

 „Geschehnisse rund um die Daten der Bürger Ecuadors sind nur ein weiteres Beispiel dafür, wie schlecht konfigurierte AWS S3 Buckets zu einer großen Anzahl personenbezogener Daten führen können, was sie einem erheblichen Risiko durch Identitätsbetrug und Social Engineering aussetzt. Wir wissen, dass schlecht konfigurierte Server in AWS etwas sind, das viele Administratoren nur schwer verstehen können, einschließlich der Frage, wie sie den Zugriff auf die dort gespeicherten Daten richtig einschränken können. Dabei geht es nicht einmal um die Größe oder Reife des Unternehmens.

Während die sofortige Bereitstellung und Skalierung von Cloud-Computing attraktive Vorteile bietet, müssen Cloud-Administratoren wissen, was sie tun, und sicherstellen, dass geeignete Zugriffskontrollen zum Schutz ihrer Daten vorhanden sind. Kein System und kein Benutzer sind perfekt. Die Fähigkeit, unbefugten oder bösartigen Zugriff auf Plattform- oder Infrastruktur-Cloud-Services zu erkennen und darauf zu reagieren, ist daher entscheidend. Dies kann den Unterschied zwischen einem eingedämmten Sicherheitsvorfall und einer vollständigen Sicherheitsverletzung ausmachen – in einem Ausmaß, mit dem Bürger in Ecuador derzeit konfrontiert sind.

Die wichtigere Frage ist hierbei, warum personenbezogene Daten dieser Kategorie von einer Regierung an ein Marketinganalyse-Unternehmen weitergegeben werden? Welchem Zweck dient dies? Die oberste Regel des Datenschutzes ist es, bestimmte Daten gar nicht erst vorzuhalten. Dies gilt insbesondere dann, wenn es sich um private Daten handelt, die eine Regierung an ein privates Drittunternehmen weitergegeben hat. Das an sich ist schon etwas beängstigend.

Darüber hinaus unterscheidet sich die Offenlegung dieser Daten nicht wesentlich von dem, was von Equifax durchgesickert ist, was zeigt, dass wir nichts aus früheren Vorfällen gelernt haben, da diese Informationen alle in einer durchsuchbaren Online-Datenbank gespeichert waren, die jeder nutzen kann.

Elasticsearch-Datenbanken in AWS sind bekanntlich öffentlich zugänglich, und da dies ein gängiges Setup ist, ist es wichtig, dass Unternehmen mit ihren Partnern zusammenarbeiten, um die Sicherheit ihrer Daten zu gewährleisten.“

Weitere Informationen zum Thema:

datensicherheit.de, 23.08.2019
Priceless Specials: Daten aus Mastercard-Bonusprogramm abgegriffen

datensicherheit.de, 25.07.2019
Schadensersatz: Equifax zahlt 700 Millionen US-Dollar

datensicherheit.de, 08.09.2018
Lehren aus der Datenschutzvorfall beim Credit Bureau Equifax