Dow-Jones-Liste mit 2,4 Millionen hochrisikobehafteten Individuen öffentlich
Eine Fehlkonfiguration soll für den freien Zugang zu einer Datenbank mit Informationen zu hochrisikobehafteten Personen und Firmen verantwortlich gewesen sein.
Der unabhängige Sicherheitsforscher Bob Diachenko hat eine Dow-Jones-Liste mit Profilen von rund 2,4 Millionen als hochrisikobehaftet eingestufte Individuen und Unternehmen frei im Internet entdeckt. Das berichtete Techcrunch am Mittwoch. Ein falsch konfigurierter AWS-Server soll ursächlich gewesen sein.
Entdeckt habe Diachenko die Profile in einer Elasticsearch-Datenbank, die auf Amazon Web Services gehostet worden und öffentlich verfügbar war. Mittlerweile ist die Datenbank nicht mehr erreichbar. Wie Diachenko mitteilte, habe das Dow Jones Security Team die Datenbank noch am Tag der Meldung des Vorfalls vom Netz genommen. Das Unternehmen teilte mit, dass ein falsch konfigurierter AWS-Server ursächlich gewesen sein soll. Konfiguriert worden sei er von einem autorisierten Drittunternehmen.
Informationen zu Politikern und Terroristen
Nach Diachenkos Angaben habe die Datenbank 2,418 Millionen Einträge enthalten und einen Umfang von 4,4 GByte gehabt. Die Datenbank habe Profile und Einschätzungen über politisch tätige oder ehemals tätige Personen, ihre Angehörigen, enge Mitarbeiter und Unternehmen, mit denen sie in Verbindung standen, enthalten. Zusätzlich seien Einträge zu nationalen und internationalen Sanktionslisten von Regierungen enthalten gewesen sowie Einträge zu Hochkriminellen wie Terroristen, deren Straftaten und dazugehörigen Notizen von Bundes- und Strafverfolgungsbehörden.
Dow Jones bietet seinen Kunden den Zugang zu dieser Liste gegen eine Gebühr an, damit sie das Risiko potenzieller Kunden einschätzen können, um zu bewerten, ob sie mit ihnen Geschäfte machen wollen oder nicht.
Die Informationen der Datenbank stammen zum größten Teil aus öffentlichen Quellen wie etwa aus Artikeln von Nachrichtenseiten und aus Regierungsverlautbarungen. Zusätzlich stammten Informationen aus dem Dow Jones eigenen Factiva-Nachrichtenarchiv, dass unter anderem aus dem unternehmenseigenen Wall Street Journal gespeist wird. Wie Techcrunch berichtet, habe die Datenbank auch Namen, Adressen, Geburtsdaten, vereinzelt auch Fotos enthalten.
Die Frage, ob Dow Jones die Datenschutzbehörden der verschiedenen Staaten über den Vorfall verständigt hat, ließ das Unternehmen unbeantwortet. (olb)
