Websicherheit: Datenlecks durch backup.zip

Viele Webseiten stellen unbeabsichtigt Backup-Dateien zum Download bereit. Sie lassen sich durch einfaches Erraten von Dateinamen wie backup.zip finden. Bei einer Datingbörse waren beispielsweise Hunderttausende von Profilen abrufbar.

Artikel veröffentlicht am , Hanno Böck
Wer online sein Liebesglück sucht, hofft wohl darauf, dass die Anbieter solcher Services besonders auf Datenschutz achten.
Wer online sein Liebesglück sucht, hofft wohl darauf, dass die Anbieter solcher Services besonders auf Datenschutz achten. (Bild: Pixabay/Wikimedia Commons/CC0 1.0)

Bei Recherchen von Golem.de stellte sich heraus, dass unzählige Webseiten Backupdaten versehentlich ungeschützt verfügbar machen. Der Angriff ist so simpel wie banal: Oft liegen gepackte Backup-Archivdateien unter Standarddateinamen wie backup.zip oder backup.tar.gz im Webverzeichnis.

Bei einem Scan von einer Million Webseiten der Alexa-Liste waren über 1.000 Seiten betroffen. In manchen Fällen handelt es sich um harmlose Daten, etwa statische Webseiten und Bilder, die sowieso öffentlich verfügbar sind. Doch unzählige Seiten geben in ihren Backups auch persönliche oder sicherheitskritische Daten preis.

Aufgrund der Vielzahl der betroffenen Seiten beschränkten wir uns bei der Analyse auf solche, bei denen die bereitgestellten Backupdateien besonders groß waren. Bei der Datingbörse Web-Amor war eine 57 GByte große Datei herunterladbar. Darin enthalten: 120.000 Profile von Nutzern - zwar ohne Klarnamen und Adressen, dafür aber mit Bildern.

"Haben Sie Wichtigtuer nichts Besseres zu tun?"

Wir haben den Betreiber der Webseite über den Vorfall informiert. Dieser entfernte die Datei zwar nach kurzer Zeit, reagierte aber ansonsten wenig freundlich. "Haben Sie Wichtigtuer nichts Besseres zu tun?", schrieb uns der Betreiber von Web-Amor zurück. Außerdem seien es Daten von 2012. In einer späteren E-Mail behauptete der Betreiber zudem, dass es sich nicht um persönliche Daten handele: "Da ist niemand betroffen, da stehen weder Echtnamen noch sonst irgendwas drin."

Das Büro des Thüringer Datenschutzbeauftragten wurde von uns ebenfalls über den Vorfall informiert und prüft die Sachlage zurzeit noch.

Da es für uns nicht praktikabel war, alle betroffenen Webseitenbetreiber manuell zu informieren, haben wir nur die Fälle mit besonders großen Dateien direkt kontaktiert. Bei allen anderen haben wir die Betreiber automatisiert über Abuse-Kontakte informiert. Außerdem haben wir die jeweils für das entsprechende Land zuständigen CERTs kontaktiert.

Das führte in einigen Fällen dazu, dass die Dateien entfernt wurden, einige der Betroffenen bedankten sich auch hierfür. Doch auch Wochen später waren von ursprünglich etwas mehr als 1.000 betroffenen Webseiten die Backup-Dateien bei über 700 Webseiten weiterhin abrufbar.

Offen abrufbare Dateien sind ein unterschätztes Risiko

Golem.de hat schon häufiger über ähnliche Sicherheitsrisiken berichtet. Die Deutsche Post machte 2017 versehentlich eine Mysql-Datenbank mit 200.000 Kundenadressen zugänglich. Öffentlich abrufbare Git-Verzeichnisse erlauben es, das gesamte Repository herunterzuladen. Dateien mit Metadaten von Apples Dateimanager Finder können Angreifern wertvolle Informationen liefern.

Mit dem vom Autor dieses Textes entwickelten Python-Skript Snallygaster kann man nach vielen derartigen Datenlecks suchen. Die Idee, nach Backup-Archiven zu suchen, stammt von Timon Engelke, einem Nutzer des Skripts, der dies als zusätzlichen Test anregte.

Wir haben für die Recherche dieses Artikels stichprobenhaft einige Daten untersucht. Wir haben nach dem Ende der Recherche sämtliche Daten wieder gelöscht und sind nicht mehr in deren Besitz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


berritorre 25. Apr 2019

Ja, also die Basics sollte man beim Fahren (wenn man denn regelmässig fährt) wirklich...

heikom36 25. Apr 2019

Früher reichte es bei den Suchmaschinen sowas wie pswd.txt, password,txt,.... suchen zu...

heikom36 25. Apr 2019

KEINER ist Fehlerfrei!!! Aber man kann ja doch soviel machen, um die Zahl der Fehler zu...

berritorre 24. Apr 2019

Fake, die Seite heisst "Web Amor", es geht um Liebe, nicht um Panzerhemden. Du bist...



Aktuell auf der Startseite von Golem.de
OpenAI
Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store

Nur einen Tag, nachdem OpenAI ChatGPT für Entwickler geöffnet hat, lassen sich Angebote finden, die es nicht geben dürfte.

OpenAI: Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store
Artikel
  1. AVM: Huawei-Patent kommt in Fritzboxen nicht zum Einsatz
    AVM
    Huawei-Patent kommt in Fritzboxen nicht "zum Einsatz"

    Huawei hat einen großen Patentpool zu Wi-Fi 6. Fritzbox-Hersteller AVM hat die Patente nach eigenen Angaben in seinen Wi-Fi-6-Routern nicht genutzt, will sie aber dennoch für ungültig erklären lassen.

  2. LTE: Kaum weniger Funklöcher in Deutschland
    LTE
    Kaum weniger Funklöcher in Deutschland

    Während bei 5G viel ausgebaut wurde, haben die Netzbetreiber zu wenig LTE-Funklöcher geschlossen. Das ergab zumindest eine Auswertung von Verivox.

  3. E-Corner: Hyundai entwickelt Klappräder zum seitlichen Einparken
    E-Corner
    Hyundai entwickelt Klappräder zum seitlichen Einparken

    Die Hyundai-Tochter Mobis präsentiert eine Technik, mit der sich die Autoräder seitlich drehen lassen, um das parallele Einparken zu erleichtern.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Lenovo 34" 21:9 Curved WQHD 299€ • ASRock RX 7900 XTX 1.039,18€ • War Hospital 21,59€ • Amazon-Geräte -50% • Acer 34" OLED UWQHD 175Hz 999€ • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • 3 Spiele für 49€ [Werbung]
    •  /