CCC: 50 Datenlecks bei "freiwiliger Netzpatrouille" gefunden

Der CCC hat Git-Repos mit Passwörtern im Klartext gefunden. Mit ihrer Aktion rufen sie zu einem Umdenken auf.

Artikel veröffentlicht am , Lennart Mühlenmeier
Daten flossen ab, CCC eilte zur Hilfe.
Daten flossen ab, CCC eilte zur Hilfe. (Bild: Horst Gutmann/CC-BY-SA 2.0)

Sicherheitsforscher des Chaos Computer Clubs (CCC) haben über 50 Datenlecks mit insgesamt 6,4 Millionen Datensätzen gefunden. Dafür haben sie unter anderem nach ungeschützten Git-Repos und Elasticsearch-Instanzen gesucht, die Passwörter und personenbezogene Daten enthalten.

Matthias Marx sagt in der Presseerklärung von Montag: "Es ist ernüchternd, wie sorglos manche Unternehmen mit ihren Daten oder, schlimmer, den Daten ihrer Kundinnen umgehen. Immerhin wurde in den meisten Fällen schnell und professionell reagiert. Für die anderen hoffen wir, dass unsere Meldung der letzte notwendige Weckruf war".

Der CCC habe jegliche gefundenen Datenlecks an die Unternehmen gemeldet. Der Verein schreibt, dass zwei Unternehmen gar nicht auf die Meldungen reagierten. 75 Prozent haben "sich freundlich bedankt und die Schwachstelle behoben". Der Rest hätte nicht geantwortet, aber die Schwachstelle daraufhin behoben.

CCC stellt Unsicherheits-Highlights vor

Zudem verweisen die Forscher auf die häufigsten Schwachstellen, die ihnen unterkamen. "Durch Geheimnisse im git-Repository eines Dienstleisters" hätten sie Passenger Name Records (PNR) einsehen können. Zudem seien Elasticsearch-Instanzen und Symfony-Umgebungen ungesichert gewesen. Auch öffentlich einsehbare Konfigurationsdaten von Web-Servern hätten zu den "ungeschützte Datenhalden" geführt.

Bisher seien als Reaktion keine Strafanzeigen eingegangen, wie es § 202 c Strafgesetzbuch erlauben würde, sagen die Forscher. Umgangssprachlich Hackerparagraf genannnt, erlaubt es die Gesetzgebung, Aktionen wie diese zu verfolgen und gegebenenfalls zu bestrafen. Viel eher hätten die Unternehmen ihren Dank in Form von Geld- und Sachspenden ausgedrückt. Die erhaltenen Prämien würden unter anderem für Freifunk- und Tor-Infrastruktur verwendet werden.

Mit ihrem Hacktivismus rufen die Sicherheitsforscher zu einem Umdenken auf. Testumgebungen bräuchten keine realen, personenbezogenen Daten. Nicht mehr benötigte Daten müssten gelöscht werden. Doku solle gelesen und verstanden werden. Und vor allem: "Daten, die gar nicht erst erhoben werden, können auch nicht verloren gehen."

Nicht jedes Unternehmen, das Daten aggregiert, reagiert souverän. So hat eine Firma erst die Aufdecker eines Datenlecks angezeigt und dann der Lüge bezichtigt. Den Aufdeckern wurde nun in einer ersten Gerichtsentscheidung Recht gegeben. Zuletzt haben Sicherheitsforscher des CCC einen Vortrag beim rC3 zum verantwortungsbewussten Melden von Sicherheitslücken gehalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Reddit
Stundenlanger Ausfall, weil niemand mehr den Code kennt

Die Analyse eines schwerwiegenden Ausfalls bei Reddit zeigt, wie kritisch institutionelles Wissen sein kann.

Reddit: Stundenlanger Ausfall, weil niemand mehr den Code kennt
Artikel
  1. Entlassungen bei Techfirmen: Weniger Manager sind besser
    Entlassungen bei Techfirmen
    Weniger Manager sind besser

    Entlassungen sind schlimm, aber die Begründungen dafür etwa von Meta kann ich zum Teil verstehen. Auch die Forderungen nach Rückkehr ins Büro finde ich richtig.
    Ein IMHO von Brandur Leach

  2. Huawei: Innenministerium wird keine US-Sanktionen überprüfen
    Huawei
    Innenministerium wird keine US-Sanktionen überprüfen

    Das Bundesinnenministerium kann weder US-Sanktionen gegen Huawei in Deutschland einfordern, noch interne Verträge der Telekom einsehen.

  3. Parkvision: Parkplatz-KI überwacht Laufwege und bestraft Fremdeinkäufer
    Parkvision
    Parkplatz-KI überwacht Laufwege und bestraft Fremdeinkäufer

    Wer auf einem kameraüberwachten Parkplatz eines Gelsenkirchener Supermarkts parkt, darf nur dort einkaufen. Wer zusätzlich woanders hingeht, zahlt Strafe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Ryzen 9 7900X3D 619€ • Crucial SSD 2TB (PS5) 158€ • Neu: Amazon Smart TVs ab 189€ • Nur bis 24.03.: 38GB Allnet-Flat 12,99€ • MindStar: Ryzen 9 5900X 319€ • Nintendo Switch inkl. Spiel & Goodie 288€ • NBB Black Weeks: Rabatte bis 60% • PS5 + Spiel 569€ • LG OLED TV -57% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /