Datenleak beim Fintech Naga Group
In einem ungeschützten S3-Bucket des börsennotierten Hamburger Fintech-Unternehmens Naga Group fand der CCC sensible Daten von Kunden.
(Bild: naga.com)
Der Chaos Computer Club (CCC) hat eigenen Angaben zufolge eine Sicherheitslücke beim börsennotierten Fintech-Unternehmen Naga Group AG entdeckt. Demnach war ein S3-Bucket der Naga Group offen im Internet zugänglich. S3-Buckets sind Datenspeicher innerhalb der AWS-Cloud-Infrastruktur von Amazon. In der Voreinstellung sind sie vor öffentlichem Zugriff geschützt.
Am 18. Juli konnte der CCC via HTTP ohne Authentifizierung die Inhalte eines Buckets von Naga auflisten und herunterladen. Darunter sollen sich jede Menge personenbezogener Daten befunden haben, beispielsweise fand der CCC ungeschwärzte Ausweiskopien, Meldebestätigungen, Kreditkartendaten und Abrechnungen. Augenscheinlich handelt es sich dabei um Kundendaten. Der CCC hat uns geschwärzte Versionen einiger Dateien zur Verifikation bereitgestellt.
Verantwortung: Offshore
Naga betreibt eine Social-Trading-Plattform, auf der Kunden Assets wie ETFs und Krypto-Währungen verwalten können. Der CCC vermutet, dass die gefundenen Daten aus der Upload-Funktion eines Support-Chats stammen könnten. Die Naga Group AG stammt aus Hamburg. Ihr Trading-Business betreibt allerdings die "NAGA Capital Ltd", die auf den Seychellen residiert und eigenen Angaben zufolge auch den dortigen Regularien unterliegt.
(Bild: In dem nicht zugriffsgeschützten S3-Bucket von Naga fanden sich beispielsweise Meldebestätigungen (hier nachträglich vom CCC geschwärzt).)
Der CCC meldete die Sicherheitslücke umgehend an Naga und die Naga Group AG. Spätestens am 20. Juli sei das S3-Bucket zugriffsgeschützt und nicht mehr zugänglich gewesen, erklärte uns der Club. Man habe sich aber über die Antwort gewundert. Derzufolge waren "die betroffenen Unternehmen und die für die Datenverarbeitung Verantwortlichen innerhalb unserer Gruppe umgehend informiert und angewiesen, alle erforderlichen Maßnahmen und Aktionen zu ergreifen", antwortete Naga auf Englisch. Selbst sei man aber für das Leak datenschutzrechtlich nicht verantwortlich, da man als Holding-Gesellschaft nicht für andere Unternehmen der Gruppe hafte.
Klarstellung gefordert
Dies machte den CCC stutzig, denn selbst auf der Website der Trading-Plattform steht im Impressum: "The website is owned by The NAGA Group AG". Der Club hatte den Datenschutzvorfall ohnehin bereits am 18. Juli beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Thomas Fuchs gemeldet, weil die Naga Group AG eben in Hamburg ihren Hauptsitz hat. Aufgrund der Schwere des Vorfalls müsste Naga eventuell auch allen betroffenen Kunden von dem Datenleak informieren.
Gegenüber heise online bestätigte Fuchs, sich mit dem Fall zu beschäftigen. Er habe bereits "an die Naga Group AG mit Sitz in Hamburg mit einem aufsichtsbehördlichen Schreiben verschiedene Fragen gestellt. Diese resultierten aus unserer technischen Analyse und betreffen vor allem Aspekte in Bezug auf mögliche Zugriffe Dritter. In diesem Zusammenhang haben wir auch die Klarstellung der datenschutzrechtlichen Verantwortlichkeit gefordert." Eine Anfrage von heise online an die Naga Group AG vom vergangenen Freitag (26. Juli) blieb bislang unbeantwortet.
(hob)
