• IT-Karriere:
  • Services:

Veeam: 200 GByte Kundendaten ungeschützt im Internet

Ausgerechnet die Datenmanagementfirma Veeam lässt ihre Kundendatenbank öffentlich zugänglich im Internet liegen. Die Kundendaten seien keine sensiblen Daten.

Artikel veröffentlicht am , Moritz Tremmel
Kundendaten der Firma Veeam waren öffentlich einsehbar.
Kundendaten der Firma Veeam waren öffentlich einsehbar. (Bild: Geralt/CC0 1.0)

Die Schweizer Firma Veeam bezeichnet sich selbst auf ihrer Webseite als "der globale Marktführer für intelligentes Datenmanagement". Ihre 200 GByte große Kundendatenbank war mindestens mehrere Tage öffentlich zugänglich im Internet verfügbar.

Stellenmarkt
  1. BSH Hausgeräte GmbH, Ulm, Augsburg
  2. Fr. Schiettinger KG, Brand

Entdeckt wurde die Datenbank am 5. September 2018 durch den Sicherheitsforscher Bob Diachenko. Die Suchmaschine Shodan hatte den Server bereits am 31. August indiziert. Der Sicherheitsforscher kritisiert in einem Blogeintrag, dass Veeam auf seine Hinweise mehrere Tage nicht reagiert hätte. Nach einer Benachrichtigung durch das Internetmagazin Techcrunch entfernte die Firma innerhalb von drei Stunden den Zugang.

Die Datenbank enthält laut Bob Diachenko 445 Millionen Einträge, die im Zeitraum von 2013 bis 2017 gesammelt wurden. Da es sich um mehrere Datensammlungen handelt, kann die Datenbank auch Duplikate enthalten. Unter den Einträgen finden sich persönliche Daten wie Vor- und Nachname, E-Mail-Adresse sowie das Land, in dem sich die Person aufhält. Angereichert sind die Daten mit Tracking- und Marketing-Informationen wie IP-Adressen, den verwendeten Browsern und Referrer-URLs. Letztere ist die Adresse der Seite, die vor einem Webseitenwechsel besucht wurde. Diese wird browserseitig an die Webseite, auf die gewechselt wird, übermittelt.

Es handelt sich aufgrund der Datenbankstruktur wohl um eine Marketingdatenbank, die Veeam benutzte, um seine Kunden mit Hilfe der Marketingsoftware Marketo zu erreichen. Diese bietet neben Werbemaßnahmen via E-Mail, Social- und Mobile-Marketing auch Analysesoftware. Letzteres könnte die IP-Adressen und Referrer in der Datenbank erklären.

Veeam bestätigt gegenüber Techcrunch die öffentlich einsehbare Datenbank, spielt den Inhalt jedoch herunter: Es handle sich um eine Marketing-Datenbank, die keine sensiblen Daten enthalten habe. Bob Diachenko kritisiert diese Einschätzung: Selbst wenn man die Daten als nichtsensibel einstufe, wären sie eine wahre Fundgrube für Spammer und Phisher. Referrer können, je nachdem, wie Webseiten-URLs aufgebaut sind, auch Zugangsdaten oder andere private oder intime Informationen enthalten. Namen, E-Mail- und IP-Adressen stehen als personenbezogene Daten unter besonderem Schutz.

Die Ursache des Leaks liegt in einer falsch konfigurierten MongoDB-Datenbank. Ein Fehler, der trotz Standardeinstellungen, die einen direkten Zugriff aus dem Internet verbieten, immer wieder vorkommt. Kriminelle nutzen diesen Umstand seit Jahren aus und suchen nach fehlerhaft konfigurierten Datenbanken, um diese herunterzuladen und zu löschen. Anschließend verlangen sie Lösegeld für die Datenbank oder verwenden die enthaltenen Daten. Insofern hatte Veeam Glück, dass die Datenbank von einem Sicherheitsforscher entdeckt wurde.

Veeam bietet Backuplösungen, Disaster Recovery und Software zur intelligenten Datenverarbeitung in virtuellen, physischen und Cloud-Umgebungen. Laut der Firmenwebseite hat Veeam 307.000 Kunden, darunter Volvo, Rewe, Bayer 04 Leverkusen, Telefónica Deutschland und mehrere Universitäten.

Nachtrag vom 14. September 2018, 14:05 Uhr

Veeam hat sich in einem Blogbeitrag zu den Vorfällen geäußert. Es seien nach Abzug der Duplikate 4,5 Millionen E-Mail-Adressen in der Datenbank enthalten. Neben den E-Mail-Adressen umfasse die Datenbank auch Marketingdaten wie Namen und IP-Adressen. Veeam betont abermals, dass es sich dabei um keine sensiblen Daten handle.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. RTX 2080 ROG Strix Gaming Advanced für 699€, RTX 2080 SUPER Dual Evo OC für 739€ und...
  2. 399,00€ (Bestpreis! zzgl. Versand)

beuteltier 13. Sep 2018

Na, die Daten waren doch noch alle da. Jetzt wurden sogar kostenlos mehrere zusätzliche...

Haze95 13. Sep 2018

Jetzt weiß ich auch wieso ich seit paar Tagen so viele Spamnachrichten bekomme^^ Sonst...

wo.ist.der... 13. Sep 2018

Selten so einen zusammenhanglosen Blödsinn gelesen. Was hat das eine mit dem anderen zu...


Folgen Sie uns
       


SSD-Kompendium

Sie werden alle SSDs genannt und doch gibt es gravierende Unterschiede. Golem.de-Hardware-Redakteur Marc Sauter stellt die unterschiedlichen Formfaktoren vor, spricht über Protokolle, die Geschwindigkeit und den Preis.

SSD-Kompendium Video aufrufen
Autonomes Fahren: Wenn der Wagen das Volk nicht versteht
Autonomes Fahren
Wenn der Wagen das Volk nicht versteht

VW testet in Hamburg das vollautonome Fahren in der Stadt - und das recht erfolgreich, wie eine Probefahrt zeigt. Als größtes Problem erweist sich ausgerechnet die Höflichkeit der Fußgänger.
Ein Bericht von Werner Pluta

  1. Elektroauto Volkswagen ID.3 wird auch in Dresden montiert
  2. Volkswagen ID. Space Vizzion als Elektrokombi vorgestellt
  3. Elektroauto von VW Es hat sich bald ausgegolft

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.

  1. Microsoft Age of Empires 4 schickt Spieler ins Mittelalter

Tesla-Fabrik in Brandenburg: Remote, Germany
Tesla-Fabrik in Brandenburg
Remote, Germany

Elon Musk steht auf Berlin, doch industrielle Großprojekte sind nicht die Stärke der Region. Ausgerechnet in die Nähe der ewigen Flughafen-Baustelle BER will Tesla seine Gigafactory 4 platzieren. Was spricht für und gegen den Standort Berlin/Brandenburg?
Eine Analyse von Dirk Kunde

  1. Gigafactory Tesla soll 4 Milliarden Euro in Brandenburg investieren
  2. 7.000 Arbeitsplätze Tesla will Gigafactory bei Berlin bauen
  3. Irreführende Angaben Wettbewerbszentrale verklagt Tesla wegen Autopilot-Werbung

    •  /