Veeam: 200 GB Marketing-Daten ungeschützt im Internet

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 33811
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Veeam: 200 GB Marketing-Daten ungeschützt im Internet

Beitrag von doelf » 13 Sep 2018, 08:53

Veeam ist nach eigenen Angaben ein "führender Anbieter im Bereich Verfügbarkeit für Multi-Cloud-Umgebungen", der seine 307.000 "Kunden auf ihrem Weg zum intelligenten Datenmanagement" unterstützt. Dennoch ist der Schweizer Firma eine peinliche Panne bei der Konfiguration ihres MongoDB-Servers unterlaufen, aufgrund derer sich 200 GB Marketing-Daten ungeschützt im Internet fanden.

Der Sicherheitsspezialist Bob Diachenko entdeckte den falsch konfigurierten Datenbankserver am 5. September 2018, wobei die auf angreifbare Internetgeräte spezialisierte Suchmaschine Shodan schon am 31. August einen entsprechenden Eintrag generiert hatte. Diachenko versuchte daraufhin, Veeam über die Sicherheitslücke zu informieren, bekam aber keinerlei Rückmeldung. Am 9. September 2018 wurde die Schwachstelle stillschweigend behoben. Auf seiner Webseite weist das Unternehmen bis heute nicht auf den Vorfall hin.

Die Datenbank, welche ohne Passwort zugänglich war, umfasst 200 GB an Daten und mehr als 445 Millionen Einträge. Sie spannt über einen Zeitraum von vier Jahren von 2013 bis 2017 und wurde offenbar für die Marketing-Software Marketo genutzt. Gespeichert sind Vor- und Nachname, E-Mail-Adresse, Staat, geschäftliches Verhältnis, Größe des Unternehmens (Enterprise: über 5.000 Mitarbeiter; Commercial: 500 bis 5.000; SMB: unter 500) sowie weitere Details wie IP-Adressen und interne Vermerke.

Aus Sicht der europäischen Datenschutzgrundverordnung fallen einige dieser Informationen in die Kategorie der personenbezogenen Daten. In der Schweiz gilt allerdings des Schweizerischen Datenschutzgesetzes (DSG), welches sich aktuell in einer Überarbeitung befindet. Eigentlich sollte das DSG an die EU-Bestimmungen angepasst werden, doch diese Revision verzögert sich und wird voraussichtlich erst im Jahr 2019 zum Abschluss kommen. Schweizer Unternehmen mit EU-Kunden sitzen sozusagen zwischen den Stühlen.

Doch egal wie man es dreht und wendet: Für all jene, die mit SPAM und Phishing ihr Geld verdienen, ist eine solch umfangreiche Datenbank fette Beute. Denn je mehr man über ein Unternehmen und dessen Mitarbeiter in Erfahrung bringen kann, umso wahrscheinlicher wird der Erfolg einer Phishing-Attacke. Insofern stellt der Vorfall mit dem falsch konfigurierten Datenbank-Server auch ein ernstes Problem dar, zumal dieser Fehler bereits im März 2013 dokumentiert wurde und MongoDB schon lange mit korrigierten Standardeinstellungen ausgeliefert wird.

Quelle:
https://www.linkedin.com/pulse/veeam-in ... -diachenko
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten