Wir liefern ja Tag für Tag und Stunde für Stunde jede Menge Daten ins Netz: Was wir kaufen, was wir suchen, wofür wir uns interessieren – und immer versichern uns die Netzfirmen: Da gehen wir verantwortungsvoll mit um, das wird nur zu den und den genau definierten Zwecken genutzt. Und natürlich: Das ist alles an einem sicheren Ort, in einer sicheren Datenbank abgespeichert. Peinlich nur, wenn dann so eine Netzfirma gehackt wird – Yahoo war ja ein unrühmliches Beispiel. Aber das lässt sich noch toppen: Wie wäre es damit: Die Daten von knapp 200 Millionen US-Bürgern, etwa 60% der Bevölkerung frei im Netz – und zwar inklusive des jeweiligen Wahlverhaltens und der politischen Überzeugung?
Im Gegensatz zum ebenfalls von Schlamperei (und schlechter Unternehemensführung…) gebeutelten Yahoo war bei „Deep Root Analytics“ keine fremde Macht am Werke, sondern nur Inkompetenz oder ein kaum entschuldbares „Versehen“. Denn die Kronjuwelen des Unternehmens, die Datenbank mit detaillierten Informationen darüber, was US-Wahlberechtigte über Waffenbesitz, Abtreibung oder Genforschung denken – die war offenbar weder verschlüsselt noch passwortgeschützt auf dem Amazon-Cloudserver abgelegt, sondern nur hinter einer leicht zu erratenden Subdomain versteckt.
Das „besondere Maß an Verantwortlichkeit“, wie es etwa das BSI von Unternehmen und Institutionen einfordert, hat „Deep Root Analytics“ wohl eher nicht gezeigt – nach dem Super-GAU könnten und sollten da mit Fug und Recht ein paar „Köpfe rollen“. Aber Datenbank-Konfigurationskatastrophen sind natürlich ein Dauerbrenner – selbst zwei Jahre nach dem Mongo-DB-Debakel scheinen immer noch diverse Firmen mit fahrlässig offenem Hosenschlitz unterwegs zu sein. Dabei sind ja schon die Sicherheitslücken und Exploits, von denen man selbst als informierter, verantwortlich handelnder Admin nichts weiß, schlimm genug. 🙂
Datenbankleck: Daten von 200 Millionen US-Bürgern frei im Netz · Deutschlandfunk Nova
Deutschlandfunk Nova – Hielscher oder Haase vom 20.06.2017 (Moderation: Till Haase)