Datenpanne bei Fujitsu: Kundendaten und Passwörter standen wohl offen im Netz
Kundendaten, AWS-Schlüssel und Klartextpasswörter des japanischen Technologiekonzerns Fujitsu haben angeblich fast ein ganzes Jahr lang ungeschützt im Netz gelegen. Das berichtet The Stack(öffnet im neuen Fenster) unter Verweis auf Angaben des Sicherheitsforschers Jelle Ursem(öffnet im neuen Fenster) vom Dutch Institute for Vulnerability Disclosure (DIVD). Ursache für das Datenleck war demnach ein öffentlich zugänglicher und via Microsoft Azure bereitgestellter Speicherserver (Bucket).
Laut Ursem enthielt der als "fjbackup" bezeichnete Bucket eine vollständige Mailbox-Sicherung mit Tausenden von E-Mails inklusive sensibler Daten. Frei zugänglich gewesen seien außerdem "ausführliche Details zu Kundenaktivitäten und Teams" , eine CSV-Datei mit aus Lastpass extrahierten Passwörtern sowie eine Vielzahl von Microsoft Onenote-Dateien "mit allem, was man über Kunden von Fujitsu wissen muss" .
Daten waren wohl fast ein ganzes Jahr abrufbar
Angeblich waren die Daten im Zeitraum von März 2022 bis Anfang 2023 frei abrufbar. Dann habe Ursem das Datenleck entdeckt und an Fujitsu gemeldet, heißt es bei The Stack. Letzteres sei jedoch nicht ganz so einfach gewesen, da Fujitsu offenbar keinen klar gekennzeichneten Weg für die Offenlegung von Sicherheitsvorfällen habe.
Der Sicherheitsforscher habe folglich zunächst Schwierigkeiten gehabt, jemanden zu erreichen, der sich des Themas annehmen konnte. Über einen internen Kontakt sei es ihm dann aber letztendlich doch gelungen, das Problem an den Konzern zu melden.
Ob neben Ursem noch andere Akteure den ungeschützten Bucket von Fujitsu entdeckten und möglicherweise Daten abgriffen, ist noch unklar. Die Golem-Redaktion bat den Konzern um eine Stellungnahme zu dem Bericht, erhielt bisher aber noch keine Antwort.
Malware-Befall bei Fujitsu
Fujitsu ist einer der weltweit größten IT-Konzerne mit rund 124.000 Mitarbeitern und einem Jahresumsatz von mehr als 22 Milliarden Euro. Das Unternehmen bietet unter anderem Lösungen aus den Bereichen Cloud, Security, KI, IoT und Blockchain an, ebenso wie IT-Beratungsdienste. Bekannt ist der Konzern auch für sein PC-Geschäft, aus dem er jedoch erst kürzlich aus Gründen der Nachhaltigkeit ausstieg .
Erst vor wenigen Tagen hatte Fujitsu verkündet , eine Schadsoftware auf mehreren seiner Computersysteme entdeckt zu haben. Der Konzern betonte, er gehe davon aus, dass dadurch persönliche Daten und Informationen über Kunden abflossen. Mit Details zu diesem Vorfall hält sich das Unternehmen allerdings bisher zurück. "Sie haben es abgelehnt, sich gegenüber der Presse und Kunden zu äußern" , erklärt der Sicherheitsforscher Kevin Beaumont auf Mastodon(öffnet im neuen Fenster) .
Ein falsch konfigurierter Azure-Bucket wurde zuletzt auch bei dem deutschen Automobilkonzern BMW entdeckt . Aufgedeckt wurde dies von einem Sicherheitsforscher von SOCRadar, der auf dem öffentlich zugänglichen Speicherserver unter anderem Skriptdateien, Zugangsdaten und geheime Schlüssel für den Zugriff auf private Buckets vorfand.
Nachtrag vom 21. März 2024, 12:13 Uhr
Fujitsu ließ der Redaktion inzwischen folgendes Statement zu dem Datenleck zukommen:
"Die jüngsten Berichte beziehen sich auf einen Vorfall, der im Januar 2023 stattfand und im April 2023 abgeschlossen wurde. Damals leitete Fujitsu sofort seinen Prozess für Sicherheitsvorfälle ein und begann mit Untersuchungen als Reaktion auf den Vorfall gemäß seinen Sicherheitsverfahren. Eine Reihe von dringenden Abhilfemaßnahmen wurde sofort ergriffen, um die Integrität unserer Daten und Systeme weiterhin zu gewährleisten.
Die damalige Untersuchung von Fujitsu ergab, dass es keine Anhaltspunkte dafür gab, dass die in der Umgebung gespeicherten Daten missbraucht oder von Dritten außer dem Sicherheitsforscher, der Fujitsu den Vorfall gemeldet hatte, eingesehen wurden. Fujitsu informierte die betroffenen Kunden damals einzeln über die Ergebnisse der Untersuchung und die Maßnahmen, die ergriffen wurden, um eine Wiederholung des Vorfalls zu verhindern."