• IT-Karriere:
  • Services:

Websicherheit: Datenlecks durch backup.zip

Viele Webseiten stellen unbeabsichtigt Backup-Dateien zum Download bereit. Sie lassen sich durch einfaches Erraten von Dateinamen wie backup.zip finden. Bei einer Datingbörse waren beispielsweise Hunderttausende von Profilen abrufbar.

Artikel veröffentlicht am , Hanno Böck
Wer online sein Liebesglück sucht, hofft wohl darauf, dass die Anbieter solcher Services besonders auf Datenschutz achten.
Wer online sein Liebesglück sucht, hofft wohl darauf, dass die Anbieter solcher Services besonders auf Datenschutz achten. (Bild: Pixabay/Wikimedia Commons/CC0 1.0)

Bei Recherchen von Golem.de stellte sich heraus, dass unzählige Webseiten Backupdaten versehentlich ungeschützt verfügbar machen. Der Angriff ist so simpel wie banal: Oft liegen gepackte Backup-Archivdateien unter Standarddateinamen wie backup.zip oder backup.tar.gz im Webverzeichnis.

Stellenmarkt
  1. Schaeffler AG, Nürnberg
  2. HAWK Hochschule für angewandte Wissenschaft und Kunst, Hildesheim

Bei einem Scan von einer Million Webseiten der Alexa-Liste waren über 1.000 Seiten betroffen. In manchen Fällen handelt es sich um harmlose Daten, etwa statische Webseiten und Bilder, die sowieso öffentlich verfügbar sind. Doch unzählige Seiten geben in ihren Backups auch persönliche oder sicherheitskritische Daten preis.

Aufgrund der Vielzahl der betroffenen Seiten beschränkten wir uns bei der Analyse auf solche, bei denen die bereitgestellten Backupdateien besonders groß waren. Bei der Datingbörse Web-Amor war eine 57 GByte große Datei herunterladbar. Darin enthalten: 120.000 Profile von Nutzern - zwar ohne Klarnamen und Adressen, dafür aber mit Bildern.

"Haben Sie Wichtigtuer nichts Besseres zu tun?"

Wir haben den Betreiber der Webseite über den Vorfall informiert. Dieser entfernte die Datei zwar nach kurzer Zeit, reagierte aber ansonsten wenig freundlich. "Haben Sie Wichtigtuer nichts Besseres zu tun?", schrieb uns der Betreiber von Web-Amor zurück. Außerdem seien es Daten von 2012. In einer späteren E-Mail behauptete der Betreiber zudem, dass es sich nicht um persönliche Daten handele: "Da ist niemand betroffen, da stehen weder Echtnamen noch sonst irgendwas drin."

Das Büro des Thüringer Datenschutzbeauftragten wurde von uns ebenfalls über den Vorfall informiert und prüft die Sachlage zurzeit noch.

Da es für uns nicht praktikabel war, alle betroffenen Webseitenbetreiber manuell zu informieren, haben wir nur die Fälle mit besonders großen Dateien direkt kontaktiert. Bei allen anderen haben wir die Betreiber automatisiert über Abuse-Kontakte informiert. Außerdem haben wir die jeweils für das entsprechende Land zuständigen CERTs kontaktiert.

Das führte in einigen Fällen dazu, dass die Dateien entfernt wurden, einige der Betroffenen bedankten sich auch hierfür. Doch auch Wochen später waren von ursprünglich etwas mehr als 1.000 betroffenen Webseiten die Backup-Dateien bei über 700 Webseiten weiterhin abrufbar.

Offen abrufbare Dateien sind ein unterschätztes Risiko

Golem.de hat schon häufiger über ähnliche Sicherheitsrisiken berichtet. Die Deutsche Post machte 2017 versehentlich eine Mysql-Datenbank mit 200.000 Kundenadressen zugänglich. Öffentlich abrufbare Git-Verzeichnisse erlauben es, das gesamte Repository herunterzuladen. Dateien mit Metadaten von Apples Dateimanager Finder können Angreifern wertvolle Informationen liefern.

Mit dem vom Autor dieses Textes entwickelten Python-Skript Snallygaster kann man nach vielen derartigen Datenlecks suchen. Die Idee, nach Backup-Archiven zu suchen, stammt von Timon Engelke, einem Nutzer des Skripts, der dies als zusätzlichen Test anregte.

Wir haben für die Recherche dieses Artikels stichprobenhaft einige Daten untersucht. Wir haben nach dem Ende der Recherche sämtliche Daten wieder gelöscht und sind nicht mehr in deren Besitz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

berritorre 25. Apr 2019

Ja, also die Basics sollte man beim Fahren (wenn man denn regelmässig fährt) wirklich...

heikom36 25. Apr 2019

Früher reichte es bei den Suchmaschinen sowas wie pswd.txt, password,txt,.... suchen zu...

heikom36 25. Apr 2019

KEINER ist Fehlerfrei!!! Aber man kann ja doch soviel machen, um die Zahl der Fehler zu...

berritorre 24. Apr 2019

Fake, die Seite heisst "Web Amor", es geht um Liebe, nicht um Panzerhemden. Du bist...

Auspuffanlage 24. Apr 2019

"Das Büro des Thüringer Datenschutzbeauftragten wurde von uns ebenfalls über den Vorfall...


Folgen Sie uns
       


Wo steige ich in Star Citizen ein? - Tutorialvideo

Der Start in Star Citizen ist nicht für jeden Menschen einfach: Golem.de erklärt im Video, wo Neulinge anfangen können, was diese bereits erwartet und verrät ein paar Tipps zur Weltraumsimulation.

Wo steige ich in Star Citizen ein? - Tutorialvideo Video aufrufen
Zero SR/S: Brutale Beschleunigung, lange Ladezeiten
Zero SR/S
Brutale Beschleunigung, lange Ladezeiten

Motorradfahrern drohen Fahrverbote mit lärmenden Maschinen. Ist ein Elektromotorrad wie die Zero SR/S eine leise Alternative zum Verbrenner?
Ein Erfahrungsbericht von Peter Ilg

  1. Blacktea Elektro-Moped mit 70 km Reichweite ab 2.300 Euro
  2. Akzeptable Reichweite Pursang E-Track als leichtes Elektromotorrad für Pendler
  3. Zero Motorcycles Elektrischer Sporttourer Zero SR/S mit 14,4-kWh-Akku

Sicherheitslücke: Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt
Sicherheitslücke
Wenn das Youtube-Tutorial die Cloud-Zugangsdaten leakt

Sicherheitsforscher haben Hunderte Youtube-Tutorials ausgewertet und immer wieder Zugangsdaten entdeckt - mit diesen konnten sie sich auf AWS einloggen.
Von Moritz Tremmel

  1. Videoportal Youtube will mehr Werbepausen
  2. Streamer Ninja spielt auf Youtube
  3. URL Ein Zeichen mehr und Youtube ist werbefrei

Oneplus Nord im Test: Oneplus' starker Vorstoß in mittlere Preisregionen
Oneplus Nord im Test
Oneplus' starker Vorstoß in mittlere Preisregionen

Das Oneplus Nord ist kein Mittelklasse-Smartphone - dafür ist es zu gut. Für 400 Euro gibt es aktuell kaum ein Gerät mit vergleichbar gutem Ausstattungsmix.
Ein Test von Tobias Költzsch

  1. Smartphone Oneplus Nord kostet ab 400 Euro
  2. Smartphone Oneplus bestätigt Details zum neuen Nord

    •  /