CCC: 50 Datenlecks bei "freiwiliger Netzpatrouille" gefunden

Der CCC hat Git-Repos mit Passwörtern im Klartext gefunden. Mit ihrer Aktion rufen sie zu einem Umdenken auf.

Artikel veröffentlicht am , Lennart Mühlenmeier
Daten flossen ab, CCC eilte zur Hilfe.
Daten flossen ab, CCC eilte zur Hilfe. (Bild: Horst Gutmann/CC-BY-SA 2.0)

Sicherheitsforscher des Chaos Computer Clubs (CCC) haben über 50 Datenlecks mit insgesamt 6,4 Millionen Datensätzen gefunden. Dafür haben sie unter anderem nach ungeschützten Git-Repos und Elasticsearch-Instanzen gesucht, die Passwörter und personenbezogene Daten enthalten.

Stellenmarkt
  1. Digitalisierungsmanager / Koordinator Digitalisierung im Bereich Versorgungsnetze (m/w/d)
    Netze Duisburg GmbH, Duisburg
  2. Produktmanager (m/w/d) Geschäftskundenprodukte
    htp GmbH, Hannover
Detailsuche

Matthias Marx sagt in der Presseerklärung von Montag: "Es ist ernüchternd, wie sorglos manche Unternehmen mit ihren Daten oder, schlimmer, den Daten ihrer Kundinnen umgehen. Immerhin wurde in den meisten Fällen schnell und professionell reagiert. Für die anderen hoffen wir, dass unsere Meldung der letzte notwendige Weckruf war".

Der CCC habe jegliche gefundenen Datenlecks an die Unternehmen gemeldet. Der Verein schreibt, dass zwei Unternehmen gar nicht auf die Meldungen reagierten. 75 Prozent haben "sich freundlich bedankt und die Schwachstelle behoben". Der Rest hätte nicht geantwortet, aber die Schwachstelle daraufhin behoben.

CCC stellt Unsicherheits-Highlights vor

Zudem verweisen die Forscher auf die häufigsten Schwachstellen, die ihnen unterkamen. "Durch Geheimnisse im git-Repository eines Dienstleisters" hätten sie Passenger Name Records (PNR) einsehen können. Zudem seien Elasticsearch-Instanzen und Symfony-Umgebungen ungesichert gewesen. Auch öffentlich einsehbare Konfigurationsdaten von Web-Servern hätten zu den "ungeschützte Datenhalden" geführt.

Golem Akademie
  1. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    19./20.05.2022, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    28.06.-01.07.2022, virtuell
Weitere IT-Trainings

Bisher seien als Reaktion keine Strafanzeigen eingegangen, wie es § 202 c Strafgesetzbuch erlauben würde, sagen die Forscher. Umgangssprachlich Hackerparagraf genannnt, erlaubt es die Gesetzgebung, Aktionen wie diese zu verfolgen und gegebenenfalls zu bestrafen. Viel eher hätten die Unternehmen ihren Dank in Form von Geld- und Sachspenden ausgedrückt. Die erhaltenen Prämien würden unter anderem für Freifunk- und Tor-Infrastruktur verwendet werden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Mit ihrem Hacktivismus rufen die Sicherheitsforscher zu einem Umdenken auf. Testumgebungen bräuchten keine realen, personenbezogenen Daten. Nicht mehr benötigte Daten müssten gelöscht werden. Doku solle gelesen und verstanden werden. Und vor allem: "Daten, die gar nicht erst erhoben werden, können auch nicht verloren gehen."

Nicht jedes Unternehmen, das Daten aggregiert, reagiert souverän. So hat eine Firma erst die Aufdecker eines Datenlecks angezeigt und dann der Lüge bezichtigt. Den Aufdeckern wurde nun in einer ersten Gerichtsentscheidung Recht gegeben. Zuletzt haben Sicherheitsforscher des CCC einen Vortrag beim rC3 zum verantwortungsbewussten Melden von Sicherheitslücken gehalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Kleba 15. Feb 2022

True dat. Aber bei Unternehmen, wo fast die gesamte Unternehmensausrichtung auf MS...

AllDayPiano 15. Feb 2022

Ja das wundert mich auch gerade. Öffentlich zugängliche Daten fallen nicht unter 202a. Es...



Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  2. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  3. Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
    Kitty Lixo
    Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

    Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /