Abo
  • Services:

Veeam: 200 GByte Kundendaten ungeschützt im Internet

Ausgerechnet die Datenmanagementfirma Veeam lässt ihre Kundendatenbank öffentlich zugänglich im Internet liegen. Die Kundendaten seien keine sensiblen Daten.

Artikel veröffentlicht am , Moritz Tremmel
Kundendaten der Firma Veeam waren öffentlich einsehbar.
Kundendaten der Firma Veeam waren öffentlich einsehbar. (Bild: Geralt/CC0 1.0)

Die Schweizer Firma Veeam bezeichnet sich selbst auf ihrer Webseite als "der globale Marktführer für intelligentes Datenmanagement". Ihre 200 GByte große Kundendatenbank war mindestens mehrere Tage öffentlich zugänglich im Internet verfügbar.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Entdeckt wurde die Datenbank am 5. September 2018 durch den Sicherheitsforscher Bob Diachenko. Die Suchmaschine Shodan hatte den Server bereits am 31. August indiziert. Der Sicherheitsforscher kritisiert in einem Blogeintrag, dass Veeam auf seine Hinweise mehrere Tage nicht reagiert hätte. Nach einer Benachrichtigung durch das Internetmagazin Techcrunch entfernte die Firma innerhalb von drei Stunden den Zugang.

Die Datenbank enthält laut Bob Diachenko 445 Millionen Einträge, die im Zeitraum von 2013 bis 2017 gesammelt wurden. Da es sich um mehrere Datensammlungen handelt, kann die Datenbank auch Duplikate enthalten. Unter den Einträgen finden sich persönliche Daten wie Vor- und Nachname, E-Mail-Adresse sowie das Land, in dem sich die Person aufhält. Angereichert sind die Daten mit Tracking- und Marketing-Informationen wie IP-Adressen, den verwendeten Browsern und Referrer-URLs. Letztere ist die Adresse der Seite, die vor einem Webseitenwechsel besucht wurde. Diese wird browserseitig an die Webseite, auf die gewechselt wird, übermittelt.

Es handelt sich aufgrund der Datenbankstruktur wohl um eine Marketingdatenbank, die Veeam benutzte, um seine Kunden mit Hilfe der Marketingsoftware Marketo zu erreichen. Diese bietet neben Werbemaßnahmen via E-Mail, Social- und Mobile-Marketing auch Analysesoftware. Letzteres könnte die IP-Adressen und Referrer in der Datenbank erklären.

Veeam bestätigt gegenüber Techcrunch die öffentlich einsehbare Datenbank, spielt den Inhalt jedoch herunter: Es handle sich um eine Marketing-Datenbank, die keine sensiblen Daten enthalten habe. Bob Diachenko kritisiert diese Einschätzung: Selbst wenn man die Daten als nichtsensibel einstufe, wären sie eine wahre Fundgrube für Spammer und Phisher. Referrer können, je nachdem, wie Webseiten-URLs aufgebaut sind, auch Zugangsdaten oder andere private oder intime Informationen enthalten. Namen, E-Mail- und IP-Adressen stehen als personenbezogene Daten unter besonderem Schutz.

Die Ursache des Leaks liegt in einer falsch konfigurierten MongoDB-Datenbank. Ein Fehler, der trotz Standardeinstellungen, die einen direkten Zugriff aus dem Internet verbieten, immer wieder vorkommt. Kriminelle nutzen diesen Umstand seit Jahren aus und suchen nach fehlerhaft konfigurierten Datenbanken, um diese herunterzuladen und zu löschen. Anschließend verlangen sie Lösegeld für die Datenbank oder verwenden die enthaltenen Daten. Insofern hatte Veeam Glück, dass die Datenbank von einem Sicherheitsforscher entdeckt wurde.

Veeam bietet Backuplösungen, Disaster Recovery und Software zur intelligenten Datenverarbeitung in virtuellen, physischen und Cloud-Umgebungen. Laut der Firmenwebseite hat Veeam 307.000 Kunden, darunter Volvo, Rewe, Bayer 04 Leverkusen, Telefónica Deutschland und mehrere Universitäten.

Nachtrag vom 14. September 2018, 14:05 Uhr

Veeam hat sich in einem Blogbeitrag zu den Vorfällen geäußert. Es seien nach Abzug der Duplikate 4,5 Millionen E-Mail-Adressen in der Datenbank enthalten. Neben den E-Mail-Adressen umfasse die Datenbank auch Marketingdaten wie Namen und IP-Adressen. Veeam betont abermals, dass es sich dabei um keine sensiblen Daten handle.



Anzeige
Top-Angebote
  1. (nur für Prime-Mitglieder)
  2. 19€ für Prime-Mitglieder
  3. (u. a. HP 27xq WQHD-Monitor mit 144 Hz für 285€ + Versand - Bestpreis!)
  4. 288€

beuteltier 13. Sep 2018

Na, die Daten waren doch noch alle da. Jetzt wurden sogar kostenlos mehrere zusätzliche...

Haze95 13. Sep 2018

Jetzt weiß ich auch wieso ich seit paar Tagen so viele Spamnachrichten bekomme^^ Sonst...

wo.ist.der... 13. Sep 2018

Selten so einen zusammenhanglosen Blödsinn gelesen. Was hat das eine mit dem anderen zu...


Folgen Sie uns
       


Amazons Echo Sub im Test

Mit dem Echo Sub lassen sich Echo-Lautsprecher mit Tiefbass nachrüsten. Die Echo-Lautsprecher sind allerdings im Mittenbereich vergleichsweise schwach, so dass das Klangbild entsprechend leidet. Sobald zwei Echo-Lautsprecher miteinander verbunden sind, gibt es enorm viele Probleme: Die Echo-Geräte reagieren langsamer, es gibt Zeitverzögerungen der einzelnen Lautsprecher und das Spulen in Musik ist nicht mehr möglich. Wie dokumentieren die Probleme im Video.

Amazons Echo Sub im Test Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
IT-Sicherheit
12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?
Eine Analyse von Friedhelm Greis

  1. Datenleak Ermittler nehmen Verdächtigen fest
  2. Datenleak Politiker fordern Pflicht für Zwei-Faktor-Authentifizierung
  3. Politiker-Hack Wohnung in Heilbronn durchsucht

    •  /