Daten von Millionen Verizon-Kunden waren ungeschützt

Daten von mehreren Millionen Kunden des US-Providers Verizon lagerten unverschlüsselt und ohne Passwortschutz auf einem Cloud-Server. Der Fehler lag offenbar aber nicht bei Verizon selbst, sondern beim beauftragten Backoffice-Dienstleister Nice, einer Firma aus Israel. Die Sicherheitsfirma Upguard, die den Fehler entdeckte, sprach dabei von 14 Millionen potenziell kompromittierten Kunden. US-Berichten nach teilte Verizon inzwischen mit, dass 6 Millionen Kunden betroffen seien.

Verizon sprach dabei von menschlichem Versagen und versicherte, dass die Daten nicht in falsche Hände geraten seien. Außer dem Sicherheitsforscher von Upguard dürften wohl keine Fremden darauf zugegriffen haben. Upguard hatte den ungesicherten Server am 8. Juni bemerkt und Verizon am 13. Juni verständigt, worauf am 22. Juni die Lücke geschlossen wurde.

Datenreichtum im Klartext

Nice hatte die Daten laut Upguard auf einem Cloudserver von Amazon S3 geparkt, Dritte hätten über die URL problemlos darauf zugreifen können. Offenbar handelte es sich um Log-Daten des telefonischen Kundensupports aus den Monaten Januar bis Juni dieses Jahres. Darin enthalten waren auch Namen, Adressen, Telefonnummern, Kundenkontodetails sowie Informationen zum Grund des Anrufs in Klartext. Dazu sei ferner in mehreren Fällen sogar die PIN zugänglich gewesen, mit der sich Kunden gegenüber dem telefonischen Kundendienst identifizieren. Für Betrüger sicher gut nutzbares Material, schätzt Upguard ein.

Nice hat sich wohl nicht nur als Auftragnehmer von Verizon Nachlässigkeiten erlaubt: Upguard will auf dem Server auch französisch-sprachige Dokumente entdeckt haben, die sich als Interna des französischen Providers Orange entpuppten. Erst vor wenigen Wochen machte die Sicherheitsfirma auch noch einen weiteren Fall unfreiwilligen Datenreichtums öffentlich: Die republikanische Partei hatte Informationen zu allen wahlberechtigten US-Bürgern ungesichert auf Webservern gelagert. (axk)