Datenprofis schlampen mit Daten: VEEAM-Kundendaten lagen offen

Von John Woll am 12.09.2018 17:50 Uhr
4 Kommentare
Die Firma Veeam betont auf ihrer Webseite, dass man der "Marktführer für intelligentes Datenmanagement" sei, beim Umgang mit Kundendaten hat sich das Unternehmen aus der Schweiz jetzt aber alles andere als vorbildlich verhalten. 200 GB Kundendaten standen für mehrere Tage offen im Netz, Hinweise eines Sicherheitsforschers wurden nicht beachtet.

Da stehen einfach einmal 200 GB Kundendaten im Netz und niemand juckt es

"Der globale Marktführer für intelligentes Datenmanagement": Mit dieser Aussage macht Veeam auf seiner eigenen Homepage Werbung für sein Angebot. Wie Golem in seinem Bericht schreibt, kann man dem Unternehmen zumindest im Umgang mit gewissen Kundendaten aber eine klare Sorglosigkeit attestieren. Eine 200 GB große Kundendatenbank war mindestens für mehrere Tage öffentlich im Internet zugänglich.

Sicherheitsrisiko Betriebssystem

Die erste offizielle Entdeckung der ungeschützten Datenbank geht dabei auf den Sicherheitsforscher Bob Diachenko zurück, der über diese am 5. September gestolpert war. Wie im Nachgang bekannt wurde, hatte unter anderem die Suchmaschine Shodan den offenen Server bereits am 31. August indiziert.

Wie der Sicherheitsforscher in seinem Blogeintrag kritisiert, habe Veeam mehrere Tage in keinster Weise auf seine Hinweise reagiert. Als sich dann aber das Magazin Techcrunch der Sache annahm und abermals mit dem Unternehmen Kontakt aufnahm, sei der Zugang zu dem Server dann innerhalb von nur drei Stunden geschlossen worden.

Millionen-Kundendaten offen

Veeam hatte im Anschluss gegenüber Techcrunch bestätigt, dass die Datenbank öffentlich einsehbar war, das Unternehmen sieht darin nach eigener Aussage aber kein Problem: Es handele sich um eine Marketing-Datenbank, die keine sensiblen Daten beinhalte. Genau diese Einschätzung stößt dann wiederum bei Diachenko auf scharfe Kritik: Nach seiner Meinung muss man selbst bei einer Einstufung der Daten als "nichtsensibel" davon ausgehen, das sie eine wahre Fundgrube für Spammer und Phisher darstellen.

Zu guter Letzt ist klar erkennbar, dass das Offenlegen der Daten auf eine falsch konfigurierte MongoDB-Datenbank zurückzuführen ist. Kriminelle nutzen diesen seit Jahren verbreiteten Fehler immer wieder, um Datenbanken zu kompromittieren und Firmen zu erpressen. Für Veeam kann man es deshalb nur als glücklichen Zufall bezeichnen, dass ihr Leck durch einen Sicherheitsforscher entdeckt wurde.

Download NirLauncher - Umfassende Sammlung bewährter Windows-Tools
Download KeePass Professional - Passwort-Sammlungs-Tool
whatsapp
Jede Woche neu: Top-News per E-Mail
4 Kommentare lesen & antworten
Desktop-Version anzeigen
Hoch © 2000 - 2019 WinFuture Impressum Datenschutz