Private Daten von 80 Millionen Haushalten offen in der Microsoft-Cloud!

Datenlecks sind leider keine Seltenheit. Normalerweise lässt sich aber recht schnell feststellen, wo die Daten herkommen. Ganz anders bei der offen zugänglichen Datenbank, die nun in der Microsoft-Cloud gefunden wurde. Sie enthielt persönliche Daten von rund 80 Millionen US-Haushalten – und keiner weiß, woher sie kommen.

24 GB an privaten Daten – und niemand weiß woher

Die 24 GB große Datenbank wurde ohne Passwort-Schutz in die Cloud gespeichert und enthält neben dem vollen Namen, die komplette Adresse, Alter und Geburtsdatum, Geschlecht, Einkommen und Familienstand der Betroffenen. Insgesamt sind mehr als die Hälfte aller Haushalte in den USA betroffen.

Da die Daten auch Informationen zum Immobilienbesitz beinhalten und nur Haushalte mit Personen über 40 Jahren betreffen, gehen Sicherheitsexperten davon aus, dass die Datei von einer Versicherung oder Bank stammen könnte. Das Leck könnte aber auch von einer Regierungsbehörde stammen. Dagegen spricht, dass die Sozialversicherungsnummern nicht angegeben ist.

Mysteriös daran ist, dass die Datei und der Speicherort überhaupt keinen Rückschluss auf den Besitzer geben. Microsoft hat die Datenbank mittlerweile offline genommen, machte aber auch keine Angaben zum Ursprung.

Eventuell nicht die einzige Kopie

Offen zugängliche Datenbanken sind nicht selten, was diesen Fall unterscheidet ist, dass er praktisch alle – für Daten- und Identitätsdiebe – wichtigen Informationen in einer Datei bündelt. Solange der Urheber nicht bekannt ist, lässt sich auch nicht ausschließen, dass die Datei woanders ebenfalls öffentlich in die Cloud geladen wird.

Die Cloud ist immer wieder das Ziel von Hacker-Angriffen. Allerdings gibt es auch genug Datenlecks, die auf fehlende Sicherung zurückführen lassen. In den letzten Jahren zählten dazu etwa MyHeritage (DNA-Auswertung), Cathay Pacific Airways (Fluggesellschaft), Timeshop (Online-Shop), Reddit (Social Media), Dropbox (Cloud-Speicher) oder die Telekom (Cloud-Speicher).

Ungesicherte Datenbanken sind ein Problem

Nicht gesicherte Datenbanken lassen sich sehr einfach über spezialisierte Suchmaschinen wie BinaryEdge.io oder Shodan.io finden. Ein einfacher Suchtext wie „mongodb server information“ all:“metrics“ listet etwa die IP-Adressen aller zugänglichen Mongo-DB-Datenbanken. Von hier aus ist es mit dem entsprechenden Administrationstool kein Problem mehr, die Datenbank aufzurufen. Besonderes Know-How oder spezielle Tools sind dafür nicht erforderlich.

Dabei sind nicht nur Unternehmen von nicht gesicherten Daten in der Cloud betroffen. Jeder der Google Drive, AWS, Dropbox, Sharepoint oder die iCloud nutzt, steht prinzipiell vor den selben Problemen. Experten empfehlen Verschlüsselung, starke Passwörter, ein wirksamer Virenschutz und die sichere Kommunikation per VPN.

Bester Schutz: Cloud Repatriation

Der beste Schutz sensibler Daten ist es aber, sie erst gar nicht in die Cloud zu speichern. Darauf kommen auch immer mehr Unternehmen, die ihre wichtigen Daten wieder aus der Cloud abziehen und lokal im Unternehmen speichern. Dieser Trend hat sogar schon einen Namen: „Cloud Repatriation“ (Cloud-Rückführung).

IT-Konzerne wie HP oder IBM beobachten ganz genau, wo die Kunden ihre Daten sichern und welche Lösungen sie dafür benötigen. IBM war dabei mit das erste Unternehmen, das die „Hybrid Cloud“ einführte. Kunden können sensible Daten auf Festplatten im eigenen Unternehmen speichern und nicht sensible Daten in die Cloud freigeben.

Angesichts von Meldungen wie der Datenbank in der Microsoft Cloud kann man ihnen das auch nicht verdenken.