CCC: 50 Datenlecks bei "freiwiliger Netzpatrouille" gefunden

Sicherheitsforscher des Chaos Computer Clubs (CCC) haben über 50 Datenlecks mit insgesamt 6,4 Millionen Datensätzen gefunden. Dafür haben sie unter anderem nach ungeschützten Git-Repos und Elasticsearch-Instanzen gesucht, die Passwörter und personenbezogene Daten enthalten.

Matthias Marx sagt in der Presseerklärung von Montag: "Es ist ernüchternd, wie sorglos manche Unternehmen mit ihren Daten oder, schlimmer, den Daten ihrer Kundinnen umgehen. Immerhin wurde in den meisten Fällen schnell und professionell reagiert. Für die anderen hoffen wir, dass unsere Meldung der letzte notwendige Weckruf war".

Der CCC habe jegliche gefundenen Datenlecks an die Unternehmen gemeldet. Der Verein schreibt, dass zwei Unternehmen gar nicht auf die Meldungen reagierten. 75 Prozent haben "sich freundlich bedankt und die Schwachstelle behoben". Der Rest hätte nicht geantwortet, aber die Schwachstelle daraufhin behoben.

CCC stellt Unsicherheits-Highlights vor

Zudem verweisen die Forscher auf die häufigsten Schwachstellen, die ihnen unterkamen. "Durch Geheimnisse im git-Repository eines Dienstleisters" hätten sie Passenger Name Records (PNR) einsehen können. Zudem seien Elasticsearch-Instanzen und Symfony-Umgebungen ungesichert gewesen. Auch öffentlich einsehbare Konfigurationsdaten von Web-Servern hätten zu den "ungeschützte Datenhalden" geführt.

Bisher seien als Reaktion keine Strafanzeigen eingegangen, wie es § 202 c Strafgesetzbuch erlauben würde, sagen die Forscher. Umgangssprachlich Hackerparagraf genannnt, erlaubt es die Gesetzgebung, Aktionen wie diese zu verfolgen und gegebenenfalls zu bestrafen. Viel eher hätten die Unternehmen ihren Dank in Form von Geld- und Sachspenden ausgedrückt. Die erhaltenen Prämien würden unter anderem für Freifunk- und Tor-Infrastruktur verwendet werden.

Mit ihrem Hacktivismus rufen die Sicherheitsforscher zu einem Umdenken auf. Testumgebungen bräuchten keine realen, personenbezogenen Daten. Nicht mehr benötigte Daten müssten gelöscht werden. Doku solle gelesen und verstanden werden. Und vor allem: "Daten, die gar nicht erst erhoben werden, können auch nicht verloren gehen."

Nicht jedes Unternehmen, das Daten aggregiert, reagiert souverän. So hat eine Firma erst die Aufdecker eines Datenlecks angezeigt und dann der Lüge bezichtigt. Den Aufdeckern wurde nun in einer ersten Gerichtsentscheidung Recht gegeben. Zuletzt haben Sicherheitsforscher des CCC einen Vortrag beim rC3 zum verantwortungsbewussten Melden von Sicherheitslücken gehalten.