Mysteriöse Datenbank mit Daten von Millionen US-Bürgern ungeschützt im Netz
Sensible Daten von 80 Millionen US-Haushalten liegen in einer offen zugänglichen Datenbank. Der Besitzer konnte bisher nicht ermittelt werden.
Die beiden Sicherheitsforscher und Hacktivisten Noa Rotem und Ran Locar sind bei einem Web-Mapping-Projekt auf eine ungeschützte Datenbank im Web gestoßen, die rund 80 Millionen Datensätze von Haushalten in den USA enthalten soll. Das berichtet vpnMentor in einem Blogbeitrag. Demnach umfasse die auf einem Microsoft Cloud Server gehostete, rund 24 GByte große Datenbank teilweise detaillierte Informationen zu etwa 65 Prozent aller US-Haushalte.
Konkret enthalte ein Datensatz die Anzahl der in einem Haushalt lebenden Personen, ihre Namen, ihren Familienstand, ihr Alter, die Geburtsdaten, die Wohnadresse inklusive GPS-Daten zur Lokalisierung und das Haushaltseinkommen. Einige der Daten lägen dabei in kodierter Form vor, wie beispielsweise das Geschlecht, der Familienstand und das Haushaltseinkommen. Da mehrere Personen in einem Haushalt leben können, halte es das Sicherheitsteam von vpnMentor für möglich, dass mehrere hundert Millionen Personen betroffen sein könnten.
"Goldgrube" für Identitätsdiebe
Nach Ansicht der Sicherheitsforscher von vpnMentor sei diese Datenbank aufgrund ihres Umfangs und der enthaltenen Detailinformationen einzigartig und damit "eine Goldgrube für Identitätsdiebe und andere Angreifer" sei. Sie könnten mit diesen Daten leicht die E-Mail-Adressen ermitteln und mit frei verfügbaren Daten aus dem Web wie beispielsweise aus sozialen Medien verknüpfen. Damit könnten nach Alter und Einkommen gezielt Personen identifiziert und beispielsweise per Telefon oder Phishing-E-Mail angegriffen, weitere Daten ermittelt und damit deren Identität genutzt werden.
Die Sicherheitsforscher konnten den Besitzer der Datenbank bisher nicht ermitteln. Da die Datenbank auf einem Cloud Server, dessen IP-Adresse nicht zwangsläufig mit dem Besitzer verknüpft sei, tappe man noch im Dunkeln. Aufgrund der Datenstruktur und der Kodierung beispielsweise des Einkommens sei es wahrscheinlich, dass die Datenbank einem Versicherungsunternehmen oder einer Firma aus dem Gesundheits- oder Hypothekenwesen zuzuordnen ist. Auch die Tatsache, dass die Datensätze nach einer stichprobenartigen Durchsicht offensichtlich nur Daten von über 40-Jährigen enthalte und damit auf eine bestimmte Gruppe beschränkt sei, deute darauf hin. Es würden auch Informationen wie Sozialversicherungsnummern oder Kontendaten fehlen, sodass Banken und Finanzmakler aller Voraussicht nach nicht als Besitzer der Datenbank in Frage kommen.
Um dem Rätsel auf die Spur zu kommen und den Leak möglichst schnell schließen zu können, bitten die Sicherheitsexperten von vpnMentor um Mithilfe bei der Identifizierung. Dabei interessiert die Forscher besonders, welche Unternehmen die darin enthaltene spezielle Datenstruktur verwenden, um den möglichen Besitzer der Datenbank eingrenzen, ermitteln und verständigen zu können. (olb)