(Not Only) Size Matters: 179 GB Rekord-Leak mit Regierungs- und Militärdaten

Rein mit der Größe können Datenleaks heute kaum mehr Aufmerksamkeit erhaschen. 179 GB sensible Daten klingt zwar nach einer Menge (und ist es auch). Was dieses Leak jedoch besonders pikant macht, ist, dass vergangene und zukünftige Reisen- und Buchungsdaten auch von amerikanischen Regierungs- und Militärangehörigen frei abrufbar im Internet standen. So konnten Forscher etwa die Reisen von US-Generälen nach Russland und Israel nachvollziehen. Nach Benachrichtigung durch das Security-Scanning-Projekt des VPN-Anbieters vpnMentor, dass die Elasticsearch-Datenbank eines Reisedienstleisters in AWS ohne jeden Zugriffsschutz offenstand, benötigten die Behörden noch mehr als zwei Wochen, um die Datenbank abzusichern. Ein Fall wie viele – hier einmal (wieder) mit besonders kritischen Daten.

https://www.zdnet.com/article/autoclerk-database-leaked-customer-government-and-military-personal-records/

Bio != gesund: Millionen biometrische Merkmale ungeschützt im Netz

Interessanterweise gilt in manchen Gebieten Biometrie immer noch als geeignetes Mittel, um Zugriffsschutz auf besonders sensible Bereiche oder Daten zu implementieren. Dass dieser Glaube Gefahren birgt, zeigt eindrucksvoll ein Leak der Fingerabdrücke und Gesichtserkennungsdaten, die für über eine Million Menschen unverschlüsselt und ungehasht im Internet abrufbar waren.

Das web-basierte(!) biometrische Schließsystem Biostar 2 wird von über 5.000 Organisationen in 83 Ländern genutzt, darunter Regierungen, Banken, Rüstungsproduzenten und die Metropolitan Police von Großbritannien. Über eine relativ simple Manipulation einer URL, welche eine Elasticsearch-Datenbank abfragt, ließen sich 23 Gigabyte sensibler Daten abgreifen – inklusive Echtzeit-Informationen über weltweite Zugriffe der Nutzer.

https://www.theguardian.com/technology/2019/aug/14/major-breach-found-in-biometrics-system-used-by-banks-uk-police-and-defence-firms