Datenleck: Jobbörse Pflegia ließ sensible Daten offen im Netz
Die Jobbörse Pflegia hatte Daten in einer Amazon-Cloud-Instanz nicht ordentlich gesichert. Sensible Informationen von Nutzern waren frei zugreifbar.
(Bild: Shutterstock/Miriam Doerr, Martin Frommherz)
Die Jobbörse Pflegia, die Personal im medizinischen Pflegebereich vermittelt, hatte ein Datenleck. Persönliche, sensible Informationen von Nutzerinnen und Nutzern waren frei im Internet zugänglich. Die Daten seien inzwischen abgesichert. Das Unternehmen taucht jedoch offenbar ab und antwortet nicht auf Anfragen.
IT-Forscher von Cybernews haben eine offene Amazon Web Services (AWS)-Cloud-Instanz entdeckt. Darin lagen mehr als 360.000 Dateien, frei zugreifbar. Die IT-Forensiker konnten die Dateien dem Unternehmen Pflegia zuordnen.
Pflegia-Datenleck: Sensible persönliche Informationen waren zugänglich
Bei den Dateien handelte es sich offenbar um die Bewerbungsunterlagen von Nutzern der Plattform. Sie enthalten daher die vollen Namen, Geburtsdaten, Beschäftigungsverlauf, Heimatanschrift, Telefonnummern und E-Mail-Adressen. Weitere persönliche Informationen können ebenfalls darin enthalten sein.
Diese Daten ermöglichen sehr gezieltes Phishing und Identitätsdiebstahl. Sie sind besonders schützenswert. Wer die Dienste von Pflegia genutzt hat, sollte daher besondere Vorsicht bei etwaiger Kommunikation wie E-Mails, SMS oder ähnlichem walten lassen.
Die IT-Analysten haben Pflegia über die Funde informiert. Daraufhin wurde zwar der offen zugängliche Server gesichert. Weitere Antworten seitens Pflegia bekamen sie jedoch nicht.
Auch heise online konnte telefonisch niemanden bei Pflegia erreichen. Eine Anfrage über Kontaktformular und per E-Mail blieb bislang ebenfalls unbeantwortet. Es ist daher unklar, ob Pflegia etwa Datenschutzbeauftragte und betroffene Kunden informiert hat, ob weitere Zugriffe außer jener der IT-Sicherheitsforscher auf die Dateien nachvollzogen werden können, ob etwaige Strafanzeigen gestellt wurden oder wie genau dieser Fehler zustande kam.
Durch falsch konfigurierte Cloud-Instanzen kommt es immer wieder zu potenziellen Datenlecks. Selbst Microsoft hatte aus Versehen Daten von mehr als 65.000 Kunden aus 111 Ländern offen ins Internet gestellt.
Soeben erreichte uns eine Stellungnahme von Pflegia: "Als Reaktion auf den Vorfall haben wir umgehend Maßnahmen ergriffen, um die Situation zu bereinigen und die Sicherheitslücke geschlossen. Wir haben darüber hinaus ein externes Unternehmen für Datensicherheit beauftragt, eine umfassende Analyse durchzuführen und notwendige Maßnahmen zu ergreifen, damit sich solche Vorfälle nicht wiederholen. Wir kooperieren aktiv mit der zuständigen Behörde bei der Untersuchung des Falles. Darüber hinaus haben wir umgehend Maßnahmen ergriffen, um alle betroffenen Nutzer über den Vorfall zu informieren und haben ihnen unsere Unterstützung zugesagt, falls dies notwendig sein sollte".
(dmk)
