Veeam: 200 GByte Kundendaten ungeschützt im Internet

Ausgerechnet die Datenmanagementfirma Veeam lässt ihre Kundendatenbank öffentlich zugänglich im Internet liegen. Die Kundendaten seien keine sensiblen Daten.

Artikel veröffentlicht am , Moritz Tremmel
Kundendaten der Firma Veeam waren öffentlich einsehbar.
Kundendaten der Firma Veeam waren öffentlich einsehbar. (Bild: Geralt/CC0 1.0)

Die Schweizer Firma Veeam bezeichnet sich selbst auf ihrer Webseite als "der globale Marktführer für intelligentes Datenmanagement". Ihre 200 GByte große Kundendatenbank war mindestens mehrere Tage öffentlich zugänglich im Internet verfügbar.

Stellenmarkt
  1. Lead IT Expert Intranet & Web Applications (m/w/d)
    BWI GmbH, deutschlandweit
  2. Qualifizierter Sachbearbeiter (m/w/d) Digitalisierung / Datenbanken
    Bundesarbeitsgemeinschaft für Rehabilitation e.V., Frankfurt am Main
Detailsuche

Entdeckt wurde die Datenbank am 5. September 2018 durch den Sicherheitsforscher Bob Diachenko. Die Suchmaschine Shodan hatte den Server bereits am 31. August indiziert. Der Sicherheitsforscher kritisiert in einem Blogeintrag, dass Veeam auf seine Hinweise mehrere Tage nicht reagiert hätte. Nach einer Benachrichtigung durch das Internetmagazin Techcrunch entfernte die Firma innerhalb von drei Stunden den Zugang.

Die Datenbank enthält laut Bob Diachenko 445 Millionen Einträge, die im Zeitraum von 2013 bis 2017 gesammelt wurden. Da es sich um mehrere Datensammlungen handelt, kann die Datenbank auch Duplikate enthalten. Unter den Einträgen finden sich persönliche Daten wie Vor- und Nachname, E-Mail-Adresse sowie das Land, in dem sich die Person aufhält. Angereichert sind die Daten mit Tracking- und Marketing-Informationen wie IP-Adressen, den verwendeten Browsern und Referrer-URLs. Letztere ist die Adresse der Seite, die vor einem Webseitenwechsel besucht wurde. Diese wird browserseitig an die Webseite, auf die gewechselt wird, übermittelt.

Es handelt sich aufgrund der Datenbankstruktur wohl um eine Marketingdatenbank, die Veeam benutzte, um seine Kunden mit Hilfe der Marketingsoftware Marketo zu erreichen. Diese bietet neben Werbemaßnahmen via E-Mail, Social- und Mobile-Marketing auch Analysesoftware. Letzteres könnte die IP-Adressen und Referrer in der Datenbank erklären.

Golem Akademie
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    11./12.07.2022, Virtuell
Weitere IT-Trainings

Veeam bestätigt gegenüber Techcrunch die öffentlich einsehbare Datenbank, spielt den Inhalt jedoch herunter: Es handle sich um eine Marketing-Datenbank, die keine sensiblen Daten enthalten habe. Bob Diachenko kritisiert diese Einschätzung: Selbst wenn man die Daten als nichtsensibel einstufe, wären sie eine wahre Fundgrube für Spammer und Phisher. Referrer können, je nachdem, wie Webseiten-URLs aufgebaut sind, auch Zugangsdaten oder andere private oder intime Informationen enthalten. Namen, E-Mail- und IP-Adressen stehen als personenbezogene Daten unter besonderem Schutz.

Die Ursache des Leaks liegt in einer falsch konfigurierten MongoDB-Datenbank. Ein Fehler, der trotz Standardeinstellungen, die einen direkten Zugriff aus dem Internet verbieten, immer wieder vorkommt. Kriminelle nutzen diesen Umstand seit Jahren aus und suchen nach fehlerhaft konfigurierten Datenbanken, um diese herunterzuladen und zu löschen. Anschließend verlangen sie Lösegeld für die Datenbank oder verwenden die enthaltenen Daten. Insofern hatte Veeam Glück, dass die Datenbank von einem Sicherheitsforscher entdeckt wurde.

Veeam bietet Backuplösungen, Disaster Recovery und Software zur intelligenten Datenverarbeitung in virtuellen, physischen und Cloud-Umgebungen. Laut der Firmenwebseite hat Veeam 307.000 Kunden, darunter Volvo, Rewe, Bayer 04 Leverkusen, Telefónica Deutschland und mehrere Universitäten.

Nachtrag vom 14. September 2018, 14:05 Uhr

Veeam hat sich in einem Blogbeitrag zu den Vorfällen geäußert. Es seien nach Abzug der Duplikate 4,5 Millionen E-Mail-Adressen in der Datenbank enthalten. Neben den E-Mail-Adressen umfasse die Datenbank auch Marketingdaten wie Namen und IP-Adressen. Veeam betont abermals, dass es sich dabei um keine sensiblen Daten handle.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


beuteltier 13. Sep 2018

Na, die Daten waren doch noch alle da. Jetzt wurden sogar kostenlos mehrere zusätzliche...

Haze95 13. Sep 2018

Jetzt weiß ich auch wieso ich seit paar Tagen so viele Spamnachrichten bekomme^^ Sonst...

wo.ist.der... 13. Sep 2018

Selten so einen zusammenhanglosen Blödsinn gelesen. Was hat das eine mit dem anderen zu...



Aktuell auf der Startseite von Golem.de
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Artikel
  1. App Store: Apple gestattet Abo-Preiserhöhung ohne Kundenzustimmung
    App Store
    Apple gestattet Abo-Preiserhöhung ohne Kundenzustimmung

    Wer ein Abo über eine App im App Store bucht, muss damit rechnen, dass er vor einer Preiserhöhung nicht mehr nach einer Zustimmung gefragt wird.

  2. Was man aus realen Cyberattacken lernen kann
     
    Was man aus realen Cyberattacken lernen kann

    "Hätte ich das mal vorher gewusst!" Die Threat Hunter von Sophos haben ihre Erfahrungen im täglichen Kampf gegen Cyberkriminelle in einem Kompendium zusammengefasst. Jedes Kapitel enthält praxisorientierte IT-Sicherheitsempfehlungen für Unternehmen.
    Sponsored Post von Sophos

  3. Forschung: Blaualge versorgt Mikrocontroller sechs Monate mit Strom
    Forschung
    Blaualge versorgt Mikrocontroller sechs Monate mit Strom

    Ein Forschungsteam hat einen Arm Cortex-M0+ sechs Monate ununterbrochen mit Strom versorgt. Die Algen lieferten sogar bei Dunkelheit Strom.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /