Websicherheit: Datenlecks durch backup.zip

Viele Webseiten stellen unbeabsichtigt Backup-Dateien zum Download bereit. Sie lassen sich durch einfaches Erraten von Dateinamen wie backup.zip finden. Bei einer Datingbörse waren beispielsweise Hunderttausende von Profilen abrufbar.

Artikel veröffentlicht am , Hanno Böck
Wer online sein Liebesglück sucht, hofft wohl darauf, dass die Anbieter solcher Services besonders auf Datenschutz achten.
Wer online sein Liebesglück sucht, hofft wohl darauf, dass die Anbieter solcher Services besonders auf Datenschutz achten. (Bild: Pixabay/Wikimedia Commons/CC0 1.0)

Bei Recherchen von Golem.de stellte sich heraus, dass unzählige Webseiten Backupdaten versehentlich ungeschützt verfügbar machen. Der Angriff ist so simpel wie banal: Oft liegen gepackte Backup-Archivdateien unter Standarddateinamen wie backup.zip oder backup.tar.gz im Webverzeichnis.

Stellenmarkt
  1. Softwareentwickler*in (w/m/d) Java Application Software
    Hensoldt, Ulm
  2. Developer SAP Sales Cloud/SAP Service Cloud (d/m/w)
    INTENSE AG, Köln, Würzburg, Saarbrücken, Leipzig
Detailsuche

Bei einem Scan von einer Million Webseiten der Alexa-Liste waren über 1.000 Seiten betroffen. In manchen Fällen handelt es sich um harmlose Daten, etwa statische Webseiten und Bilder, die sowieso öffentlich verfügbar sind. Doch unzählige Seiten geben in ihren Backups auch persönliche oder sicherheitskritische Daten preis.

Aufgrund der Vielzahl der betroffenen Seiten beschränkten wir uns bei der Analyse auf solche, bei denen die bereitgestellten Backupdateien besonders groß waren. Bei der Datingbörse Web-Amor war eine 57 GByte große Datei herunterladbar. Darin enthalten: 120.000 Profile von Nutzern - zwar ohne Klarnamen und Adressen, dafür aber mit Bildern.

"Haben Sie Wichtigtuer nichts Besseres zu tun?"

Wir haben den Betreiber der Webseite über den Vorfall informiert. Dieser entfernte die Datei zwar nach kurzer Zeit, reagierte aber ansonsten wenig freundlich. "Haben Sie Wichtigtuer nichts Besseres zu tun?", schrieb uns der Betreiber von Web-Amor zurück. Außerdem seien es Daten von 2012. In einer späteren E-Mail behauptete der Betreiber zudem, dass es sich nicht um persönliche Daten handele: "Da ist niemand betroffen, da stehen weder Echtnamen noch sonst irgendwas drin."

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    05.-09.09.2022, virtuell
Weitere IT-Trainings

Das Büro des Thüringer Datenschutzbeauftragten wurde von uns ebenfalls über den Vorfall informiert und prüft die Sachlage zurzeit noch.

Da es für uns nicht praktikabel war, alle betroffenen Webseitenbetreiber manuell zu informieren, haben wir nur die Fälle mit besonders großen Dateien direkt kontaktiert. Bei allen anderen haben wir die Betreiber automatisiert über Abuse-Kontakte informiert. Außerdem haben wir die jeweils für das entsprechende Land zuständigen CERTs kontaktiert.

Das führte in einigen Fällen dazu, dass die Dateien entfernt wurden, einige der Betroffenen bedankten sich auch hierfür. Doch auch Wochen später waren von ursprünglich etwas mehr als 1.000 betroffenen Webseiten die Backup-Dateien bei über 700 Webseiten weiterhin abrufbar.

Offen abrufbare Dateien sind ein unterschätztes Risiko

Golem.de hat schon häufiger über ähnliche Sicherheitsrisiken berichtet. Die Deutsche Post machte 2017 versehentlich eine Mysql-Datenbank mit 200.000 Kundenadressen zugänglich. Öffentlich abrufbare Git-Verzeichnisse erlauben es, das gesamte Repository herunterzuladen. Dateien mit Metadaten von Apples Dateimanager Finder können Angreifern wertvolle Informationen liefern.

Mit dem vom Autor dieses Textes entwickelten Python-Skript Snallygaster kann man nach vielen derartigen Datenlecks suchen. Die Idee, nach Backup-Archiven zu suchen, stammt von Timon Engelke, einem Nutzer des Skripts, der dies als zusätzlichen Test anregte.

Wir haben für die Recherche dieses Artikels stichprobenhaft einige Daten untersucht. Wir haben nach dem Ende der Recherche sämtliche Daten wieder gelöscht und sind nicht mehr in deren Besitz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


berritorre 25. Apr 2019

Ja, also die Basics sollte man beim Fahren (wenn man denn regelmässig fährt) wirklich...

heikom36 25. Apr 2019

Früher reichte es bei den Suchmaschinen sowas wie pswd.txt, password,txt,.... suchen zu...

heikom36 25. Apr 2019

KEINER ist Fehlerfrei!!! Aber man kann ja doch soviel machen, um die Zahl der Fehler zu...

berritorre 24. Apr 2019

Fake, die Seite heisst "Web Amor", es geht um Liebe, nicht um Panzerhemden. Du bist...



Aktuell auf der Startseite von Golem.de
TADF Technologie
Samsung kauft Cynora in Bruchsal und entlässt alle

Der Cynora-Chef wollte das deutsche Start-up zum Einhorn entwickeln. Nun wurden die Patente und die TADF-Technologie von Samsung für 300 Millionen Dollar gekauft und das Unternehmen zerschlagen.

TADF Technologie: Samsung kauft Cynora in Bruchsal und entlässt alle
Artikel
  1. Brandenburg: DNS:Net-Verteiler wegen Telekom-Werbebanner überhitzt?
    Brandenburg  
    DNS:Net-Verteiler wegen Telekom-Werbebanner überhitzt?

    Bei DNS:Net kam es in dieser Woche bei starker Hitze zu einem Netzausfall in einem Ort. Schuld soll ein Werbebanner der Konkurrenz gewesen sein.

  2. Kryptogeld: Bitcoin wieder unter 20.000 US-Dollar, Fonds vor dem Aus
    Kryptogeld
    Bitcoin wieder unter 20.000 US-Dollar, Fonds vor dem Aus

    Ein Gericht hat die Liquidation von Three Arrows Capital angeordnet. Der Bitcoin sinkt wieder unter die Grenze von 20.000 US-Dollar.

  3. Vodafone: Vantage Towers betreibt Sendestationen mit Wasserstoff
    Vodafone
    Vantage Towers betreibt Sendestationen mit Wasserstoff

    Bei der Entwicklung des Containers mit Wasserstoffmotor sind Erfahrungen aus Einsätzen bei der Flutkatastrophe im Ahrtal eingeflossen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PNY RTX 3080 12GB günstig wie nie: 929€ • MindStar (MSI RX 6700 XT 499€, G.Skill DDR4-3600 32GB 165€, AMD Ryzen 9 5900X 375€) • Nur noch heute: NBB Black Week • Top-TVs bis 53% Rabatt • Top-Gaming-PC mit AMD Ryzen 7 RTX 3070 Ti 1.700€ • Samsung Galaxy S20 FE 5G 128GB 359€ [Werbung]
    •  /