Websicherheit: Datenlecks durch backup.zip

Viele Webseiten stellen unbeabsichtigt Backup-Dateien zum Download bereit. Sie lassen sich durch einfaches Erraten von Dateinamen wie backup.zip finden. Bei einer Datingbörse waren beispielsweise Hunderttausende von Profilen abrufbar.

Artikel veröffentlicht am , Hanno Böck
Wer online sein Liebesglück sucht, hofft wohl darauf, dass die Anbieter solcher Services besonders auf Datenschutz achten.
Wer online sein Liebesglück sucht, hofft wohl darauf, dass die Anbieter solcher Services besonders auf Datenschutz achten. (Bild: Pixabay/Wikimedia Commons/CC0 1.0)

Bei Recherchen von Golem.de stellte sich heraus, dass unzählige Webseiten Backupdaten versehentlich ungeschützt verfügbar machen. Der Angriff ist so simpel wie banal: Oft liegen gepackte Backup-Archivdateien unter Standarddateinamen wie backup.zip oder backup.tar.gz im Webverzeichnis.

Stellenmarkt
  1. Senior Manager (m/w/d) - CRM & Sales Processes
    Villeroy & Boch AG Hauptverwaltung, Mettlach
  2. IT-Administrator (m/w/d) Bereich IT-Infrastruktur
    J. Schmalz GmbH, Glatten
Detailsuche

Bei einem Scan von einer Million Webseiten der Alexa-Liste waren über 1.000 Seiten betroffen. In manchen Fällen handelt es sich um harmlose Daten, etwa statische Webseiten und Bilder, die sowieso öffentlich verfügbar sind. Doch unzählige Seiten geben in ihren Backups auch persönliche oder sicherheitskritische Daten preis.

Aufgrund der Vielzahl der betroffenen Seiten beschränkten wir uns bei der Analyse auf solche, bei denen die bereitgestellten Backupdateien besonders groß waren. Bei der Datingbörse Web-Amor war eine 57 GByte große Datei herunterladbar. Darin enthalten: 120.000 Profile von Nutzern - zwar ohne Klarnamen und Adressen, dafür aber mit Bildern.

"Haben Sie Wichtigtuer nichts Besseres zu tun?"

Wir haben den Betreiber der Webseite über den Vorfall informiert. Dieser entfernte die Datei zwar nach kurzer Zeit, reagierte aber ansonsten wenig freundlich. "Haben Sie Wichtigtuer nichts Besseres zu tun?", schrieb uns der Betreiber von Web-Amor zurück. Außerdem seien es Daten von 2012. In einer späteren E-Mail behauptete der Betreiber zudem, dass es sich nicht um persönliche Daten handele: "Da ist niemand betroffen, da stehen weder Echtnamen noch sonst irgendwas drin."

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Das Büro des Thüringer Datenschutzbeauftragten wurde von uns ebenfalls über den Vorfall informiert und prüft die Sachlage zurzeit noch.

Da es für uns nicht praktikabel war, alle betroffenen Webseitenbetreiber manuell zu informieren, haben wir nur die Fälle mit besonders großen Dateien direkt kontaktiert. Bei allen anderen haben wir die Betreiber automatisiert über Abuse-Kontakte informiert. Außerdem haben wir die jeweils für das entsprechende Land zuständigen CERTs kontaktiert.

Das führte in einigen Fällen dazu, dass die Dateien entfernt wurden, einige der Betroffenen bedankten sich auch hierfür. Doch auch Wochen später waren von ursprünglich etwas mehr als 1.000 betroffenen Webseiten die Backup-Dateien bei über 700 Webseiten weiterhin abrufbar.

Offen abrufbare Dateien sind ein unterschätztes Risiko

Golem.de hat schon häufiger über ähnliche Sicherheitsrisiken berichtet. Die Deutsche Post machte 2017 versehentlich eine Mysql-Datenbank mit 200.000 Kundenadressen zugänglich. Öffentlich abrufbare Git-Verzeichnisse erlauben es, das gesamte Repository herunterzuladen. Dateien mit Metadaten von Apples Dateimanager Finder können Angreifern wertvolle Informationen liefern.

Mit dem vom Autor dieses Textes entwickelten Python-Skript Snallygaster kann man nach vielen derartigen Datenlecks suchen. Die Idee, nach Backup-Archiven zu suchen, stammt von Timon Engelke, einem Nutzer des Skripts, der dies als zusätzlichen Test anregte.

Wir haben für die Recherche dieses Artikels stichprobenhaft einige Daten untersucht. Wir haben nach dem Ende der Recherche sämtliche Daten wieder gelöscht und sind nicht mehr in deren Besitz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


berritorre 25. Apr 2019

Ja, also die Basics sollte man beim Fahren (wenn man denn regelmässig fährt) wirklich...

heikom36 25. Apr 2019

Früher reichte es bei den Suchmaschinen sowas wie pswd.txt, password,txt,.... suchen zu...

heikom36 25. Apr 2019

KEINER ist Fehlerfrei!!! Aber man kann ja doch soviel machen, um die Zahl der Fehler zu...

berritorre 24. Apr 2019

Fake, die Seite heisst "Web Amor", es geht um Liebe, nicht um Panzerhemden. Du bist...

Auspuffanlage 24. Apr 2019

"Das Büro des Thüringer Datenschutzbeauftragten wurde von uns ebenfalls über den Vorfall...



Aktuell auf der Startseite von Golem.de
In-Ears
Apple stellt Airpods 3 vor

Apple hat auf seinem Event die Airpods 3 vorgestellt, die den Airpods 3 Pro sehr ähnlich sehen - allerdings ohne Geräuschunterdrückung.

In-Ears: Apple stellt Airpods 3 vor
Artikel
  1. 5 US-Dollar: Apple bietet günstigeres Music-Abo an
    5 US-Dollar
    Apple bietet günstigeres Music-Abo an

    Apple hat ein preiswerteres Apple-Music-Abo angekündigt, das aber nur mit dem Sprachassistenten Siri gesteuert werden kann.

  2. Transatel: Bundesnetzagentur zwingt Telefónica zu Verhandlungen
    Transatel
    Bundesnetzagentur zwingt Telefónica zu Verhandlungen

    Telefónica darf einen Mobilfunkprovider (MVNO) aus Frankreich nicht behindern.

  3. Irische Datenschutzbehörde: Max Schrems soll Dokument von seiner Webseite nehmen
    Irische Datenschutzbehörde
    Max Schrems soll Dokument von seiner Webseite nehmen

    Mit einem Trick umgeht Facebook die DSGVO. Die irische Datenschutzbehörde findet das okay, möchte aber nicht, dass Noyb dies öffentlich macht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Horror-Filme reduziert • MwSt-Aktion bei MM: Rabatte auf viele Produkte [Werbung]
    •  /