US-Kreditinstitut legt Kundendaten in öffentlich zugänglichem S3-Bucket ab
Die National Credit Federation bietet Hilfe für Menschen mit niedriger Kreditwürdigkeit an. Durch einen Fehler waren deren Daten allerdings für alle zugänglich in der Cloud ablegt.
(Bild: Gerd Altmann, Public Domain (Creative Commons CCo))
Ein Konfigurationsfehler – kein Hack – machte die Daten von etwa 40.000 Kunden der National Credit Federation frei im Internet verfügbar. Zwar waren deutlich weniger Personen betroffen als beim großen Equifax-Hack, aber die Daten waren sensibler.
Chris Vickery, der wiederholt Datenlecks entdeckt hatte und seit April 2017 beim Security-Consulting UpGuard angestellt ist, fand am 3. Oktober einen öffentlich zugänglichen Objektspeicher S3 in der Amazon Cloud. Das erlaubte jedem, der die URL kannte, den Inhalt dahinter komplett herunterzuladen. In diesem Fall handelte es sich um 111 GByte mit Informationen über Kunden der National Credit Federation, die unter dem Motto "Fix Your Credit, Fix Your Life" anbietet, die Kreditwürdigkeit ihrer Kunden zu erhöhen.
UpGuard schätzt die Zahl der betroffenen Personen auf etwa 40.000. Im Rahmen des Programms Personalized Credit Repair sammelte das Unternehmen zum Beispiel die Berichte der großen Auskunfteien Equifax, Experian und TransUnion und legt sie in dem S3-Bucket ab. Auch andere persönliche Daten wie die Sozialversicherungsnummer und die Finanzhistorie der Kunden ließen sich herausfinden.
Delikat ist, dass zwar Equifax aus seinen Fehlern gelernt haben könnte, die weite Verbreitung der Daten aber offensichtlich eine Kontrolle schwierig macht. Amazon ist übrigens auch nicht frei von Verantwortung, hat aber inzwischen reagiert: Seit Anfang November warnt ein Indikator im AWS-Dashboard Kunden unter anderem davor, wenn sie einen S3-Bucket frei verfügbar ins Netz stellen. (jab)
