Abo
  • Services:

Veeam: 200 GByte Kundendaten ungeschützt im Internet

Ausgerechnet die Datenmanagementfirma Veeam lässt ihre Kundendatenbank öffentlich zugänglich im Internet liegen. Die Kundendaten seien keine sensiblen Daten.

Artikel veröffentlicht am , Moritz Tremmel
Kundendaten der Firma Veeam waren öffentlich einsehbar.
Kundendaten der Firma Veeam waren öffentlich einsehbar. (Bild: Geralt/CC0 1.0)

Die Schweizer Firma Veeam bezeichnet sich selbst auf ihrer Webseite als "der globale Marktführer für intelligentes Datenmanagement". Ihre 200 GByte große Kundendatenbank war mindestens mehrere Tage öffentlich zugänglich im Internet verfügbar.

Stellenmarkt
  1. Technische Universität Berlin, Berlin
  2. Bosch Gruppe, Reutlingen

Entdeckt wurde die Datenbank am 5. September 2018 durch den Sicherheitsforscher Bob Diachenko. Die Suchmaschine Shodan hatte den Server bereits am 31. August indiziert. Der Sicherheitsforscher kritisiert in einem Blogeintrag, dass Veeam auf seine Hinweise mehrere Tage nicht reagiert hätte. Nach einer Benachrichtigung durch das Internetmagazin Techcrunch entfernte die Firma innerhalb von drei Stunden den Zugang.

Die Datenbank enthält laut Bob Diachenko 445 Millionen Einträge, die im Zeitraum von 2013 bis 2017 gesammelt wurden. Da es sich um mehrere Datensammlungen handelt, kann die Datenbank auch Duplikate enthalten. Unter den Einträgen finden sich persönliche Daten wie Vor- und Nachname, E-Mail-Adresse sowie das Land, in dem sich die Person aufhält. Angereichert sind die Daten mit Tracking- und Marketing-Informationen wie IP-Adressen, den verwendeten Browsern und Referrer-URLs. Letztere ist die Adresse der Seite, die vor einem Webseitenwechsel besucht wurde. Diese wird browserseitig an die Webseite, auf die gewechselt wird, übermittelt.

Es handelt sich aufgrund der Datenbankstruktur wohl um eine Marketingdatenbank, die Veeam benutzte, um seine Kunden mit Hilfe der Marketingsoftware Marketo zu erreichen. Diese bietet neben Werbemaßnahmen via E-Mail, Social- und Mobile-Marketing auch Analysesoftware. Letzteres könnte die IP-Adressen und Referrer in der Datenbank erklären.

Veeam bestätigt gegenüber Techcrunch die öffentlich einsehbare Datenbank, spielt den Inhalt jedoch herunter: Es handle sich um eine Marketing-Datenbank, die keine sensiblen Daten enthalten habe. Bob Diachenko kritisiert diese Einschätzung: Selbst wenn man die Daten als nichtsensibel einstufe, wären sie eine wahre Fundgrube für Spammer und Phisher. Referrer können, je nachdem, wie Webseiten-URLs aufgebaut sind, auch Zugangsdaten oder andere private oder intime Informationen enthalten. Namen, E-Mail- und IP-Adressen stehen als personenbezogene Daten unter besonderem Schutz.

Die Ursache des Leaks liegt in einer falsch konfigurierten MongoDB-Datenbank. Ein Fehler, der trotz Standardeinstellungen, die einen direkten Zugriff aus dem Internet verbieten, immer wieder vorkommt. Kriminelle nutzen diesen Umstand seit Jahren aus und suchen nach fehlerhaft konfigurierten Datenbanken, um diese herunterzuladen und zu löschen. Anschließend verlangen sie Lösegeld für die Datenbank oder verwenden die enthaltenen Daten. Insofern hatte Veeam Glück, dass die Datenbank von einem Sicherheitsforscher entdeckt wurde.

Veeam bietet Backuplösungen, Disaster Recovery und Software zur intelligenten Datenverarbeitung in virtuellen, physischen und Cloud-Umgebungen. Laut der Firmenwebseite hat Veeam 307.000 Kunden, darunter Volvo, Rewe, Bayer 04 Leverkusen, Telefónica Deutschland und mehrere Universitäten.

Nachtrag vom 14. September 2018, 14:05 Uhr

Veeam hat sich in einem Blogbeitrag zu den Vorfällen geäußert. Es seien nach Abzug der Duplikate 4,5 Millionen E-Mail-Adressen in der Datenbank enthalten. Neben den E-Mail-Adressen umfasse die Datenbank auch Marketingdaten wie Namen und IP-Adressen. Veeam betont abermals, dass es sich dabei um keine sensiblen Daten handle.



Anzeige
Hardware-Angebote
  1. 915€ + Versand
  2. 149€ (Bestpreis!)

beuteltier 13. Sep 2018 / Themenstart

Na, die Daten waren doch noch alle da. Jetzt wurden sogar kostenlos mehrere zusätzliche...

Haze95 13. Sep 2018 / Themenstart

Jetzt weiß ich auch wieso ich seit paar Tagen so viele Spamnachrichten bekomme^^ Sonst...

wo.ist.der... 13. Sep 2018 / Themenstart

Selten so einen zusammenhanglosen Blödsinn gelesen. Was hat das eine mit dem anderen zu...

Kommentieren


Folgen Sie uns
       


Monster Hunter World vs Generations Ultimate Gameplay

Gameplay von den Spielen Monster Hunter World und Monster Hunter Generations Ultimate, das im Splittscreen verglichen wird.

Monster Hunter World vs Generations Ultimate Gameplay Video aufrufen
Amazon Alexa: Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
Amazon Alexa
Echo Sub verhilft Echo-Lautsprechern zu mehr Bass

Amazon hat einen Subwoofer speziell für Echo-Lautsprecher vorgestellt. Damit sollen die eher bassarmen Lautsprecher mit einem ordentlichen Tiefbass ausgestattet werden. Zudem öffnet Amazon seine Multiroom-Musikfunktion für Alexa-Lautsprecher anderer Hersteller.

  1. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  2. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark
  3. Alexa-Soundbars im Test Sonos' Beam und Polks Command Bar sind die Klangreferenz

Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

Leistungsschutzrecht: So viel Geld würden die Verlage von Google bekommen
Leistungsschutzrecht
So viel Geld würden die Verlage von Google bekommen

Das europäische Leistungsschutzrecht soll die Zukunft der Presse sichern. Doch in Deutschland würde derzeit ein einziger Verlag fast zwei Drittel der Einnahmen erhalten.
Eine Analyse von Friedhelm Greis

  1. Netzpolitik Willkommen im europäischen Filternet
  2. Urheberrecht Europaparlament für Leistungsschutzrecht und Uploadfilter
  3. Leistungsschutzrecht/Uploadfilter Wikipedia protestiert gegen Urheberrechtsreform

    •  /