Abo
  • IT-Karriere:

Veeam: 200 GByte Kundendaten ungeschützt im Internet

Ausgerechnet die Datenmanagementfirma Veeam lässt ihre Kundendatenbank öffentlich zugänglich im Internet liegen. Die Kundendaten seien keine sensiblen Daten.

Artikel veröffentlicht am , Moritz Tremmel
Kundendaten der Firma Veeam waren öffentlich einsehbar.
Kundendaten der Firma Veeam waren öffentlich einsehbar. (Bild: Geralt/CC0 1.0)

Die Schweizer Firma Veeam bezeichnet sich selbst auf ihrer Webseite als "der globale Marktführer für intelligentes Datenmanagement". Ihre 200 GByte große Kundendatenbank war mindestens mehrere Tage öffentlich zugänglich im Internet verfügbar.

Stellenmarkt
  1. Madsack Market Solutions GmbH, Hannover
  2. Universität Hamburg, Hamburg

Entdeckt wurde die Datenbank am 5. September 2018 durch den Sicherheitsforscher Bob Diachenko. Die Suchmaschine Shodan hatte den Server bereits am 31. August indiziert. Der Sicherheitsforscher kritisiert in einem Blogeintrag, dass Veeam auf seine Hinweise mehrere Tage nicht reagiert hätte. Nach einer Benachrichtigung durch das Internetmagazin Techcrunch entfernte die Firma innerhalb von drei Stunden den Zugang.

Die Datenbank enthält laut Bob Diachenko 445 Millionen Einträge, die im Zeitraum von 2013 bis 2017 gesammelt wurden. Da es sich um mehrere Datensammlungen handelt, kann die Datenbank auch Duplikate enthalten. Unter den Einträgen finden sich persönliche Daten wie Vor- und Nachname, E-Mail-Adresse sowie das Land, in dem sich die Person aufhält. Angereichert sind die Daten mit Tracking- und Marketing-Informationen wie IP-Adressen, den verwendeten Browsern und Referrer-URLs. Letztere ist die Adresse der Seite, die vor einem Webseitenwechsel besucht wurde. Diese wird browserseitig an die Webseite, auf die gewechselt wird, übermittelt.

Es handelt sich aufgrund der Datenbankstruktur wohl um eine Marketingdatenbank, die Veeam benutzte, um seine Kunden mit Hilfe der Marketingsoftware Marketo zu erreichen. Diese bietet neben Werbemaßnahmen via E-Mail, Social- und Mobile-Marketing auch Analysesoftware. Letzteres könnte die IP-Adressen und Referrer in der Datenbank erklären.

Veeam bestätigt gegenüber Techcrunch die öffentlich einsehbare Datenbank, spielt den Inhalt jedoch herunter: Es handle sich um eine Marketing-Datenbank, die keine sensiblen Daten enthalten habe. Bob Diachenko kritisiert diese Einschätzung: Selbst wenn man die Daten als nichtsensibel einstufe, wären sie eine wahre Fundgrube für Spammer und Phisher. Referrer können, je nachdem, wie Webseiten-URLs aufgebaut sind, auch Zugangsdaten oder andere private oder intime Informationen enthalten. Namen, E-Mail- und IP-Adressen stehen als personenbezogene Daten unter besonderem Schutz.

Die Ursache des Leaks liegt in einer falsch konfigurierten MongoDB-Datenbank. Ein Fehler, der trotz Standardeinstellungen, die einen direkten Zugriff aus dem Internet verbieten, immer wieder vorkommt. Kriminelle nutzen diesen Umstand seit Jahren aus und suchen nach fehlerhaft konfigurierten Datenbanken, um diese herunterzuladen und zu löschen. Anschließend verlangen sie Lösegeld für die Datenbank oder verwenden die enthaltenen Daten. Insofern hatte Veeam Glück, dass die Datenbank von einem Sicherheitsforscher entdeckt wurde.

Veeam bietet Backuplösungen, Disaster Recovery und Software zur intelligenten Datenverarbeitung in virtuellen, physischen und Cloud-Umgebungen. Laut der Firmenwebseite hat Veeam 307.000 Kunden, darunter Volvo, Rewe, Bayer 04 Leverkusen, Telefónica Deutschland und mehrere Universitäten.

Nachtrag vom 14. September 2018, 14:05 Uhr

Veeam hat sich in einem Blogbeitrag zu den Vorfällen geäußert. Es seien nach Abzug der Duplikate 4,5 Millionen E-Mail-Adressen in der Datenbank enthalten. Neben den E-Mail-Adressen umfasse die Datenbank auch Marketingdaten wie Namen und IP-Adressen. Veeam betont abermals, dass es sich dabei um keine sensiblen Daten handle.



Anzeige
Hardware-Angebote
  1. mit Gutschein: NBBGRATISH10

beuteltier 13. Sep 2018

Na, die Daten waren doch noch alle da. Jetzt wurden sogar kostenlos mehrere zusätzliche...

Haze95 13. Sep 2018

Jetzt weiß ich auch wieso ich seit paar Tagen so viele Spamnachrichten bekomme^^ Sonst...

wo.ist.der... 13. Sep 2018

Selten so einen zusammenhanglosen Blödsinn gelesen. Was hat das eine mit dem anderen zu...


Folgen Sie uns
       


Asus Zenfone 6 - Test

Das Zenfone 6 fällt durch seine Klappkamera auf, hat aber auch abseits dieses Gimmicks eine Menge zu bieten, wie unser Test zeigt.

Asus Zenfone 6 - Test Video aufrufen
Faire IT: Die grüne Challenge
Faire IT
Die grüne Challenge

Kann man IT-Produkte nachhaltig gestalten? Drei Startups zeigen, dass es nicht so einfach ist, die grüne Maus oder das faire Smartphone auf den Markt zu bringen.
Von Christiane Schulzki-Haddouti

  1. Smartphones Samsung und Xiaomi profitieren in Europa von Huawei-Boykott
  2. Smartphones Xiaomi ist kurz davor, Apple zu überholen
  3. Niederlande Notrufnummer fällt für mehrere Stunden aus

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Nachhaltigkeit Bauen fürs Klima
  2. Autos Elektro, Brennstoffzelle oder Diesel?
  3. Energie Wo die Wasserstoffqualität getestet wird

Whatsapp: Krankschreibung auf Knopfdruck
Whatsapp
Krankschreibung auf Knopfdruck

Ein Hamburger Gründer verkauft Arbeitsunfähigkeitsbescheinigungen per Whatsapp. Ist das rechtens? Ärztevertreter warnen vor den Folgen.
Von Miriam Apke

  1. Medizin Schadsoftware legt Krankenhäuser lahm
  2. Medizin Sicherheitslücken in Beatmungsgeräten
  3. Gesundheitsdaten Gesundheitsapps werden beliebter, trotz Datenschutzbedenken

    •  /