IT-Dienstleister Capgemini verliert Daten von 780.000 Job-Bewerbern

Sie gehören dem Personalvermittler Michael Page. Dem Sicherheitsexperten Troy Hunt liegt ein Teil der Daten vor. Ihm zufolge handelt es sich um ein 30 GByte großes Backup einer SQL-Datenbank.

Der IT-Dienstleister Capgemini hat mehrere Gigabyte Daten von Jobbewerbern verloren. Die Daten gehören allerdings nicht Capgemini selbst, sondern einem Kunden des Unternehmens – dem Personalvermittler Michael Page. Einem Blogeintrag des Sicherheitsforschers Troy Hunt zufolge, dem ein Teil der Daten vorliegt, sind darin mehr als 780.000 unterschiedliche E-Mail-Adressen sowie „eine Fülle“ an weiteren Daten über die Bewerber enthalten.

Hacker (Bild: Shutterstock)Die durchgesickerte MySQL-Datenbank ist mehr als 30 GByte groß. Darin sollen neben den E-Mail-Adressen und Namen von Bewerbern auch Telefonnummern, Anschriften, Anschreiben und vollständige Lebensläufe gespeichert worden sein.

Michael Page hat sich inzwischen per E-Mail bei seinen Kunden entschuldigt. Darin spricht der Personalvermittler von einem nicht autorisierten Zugriff Dritter auf seine Systeme. Man arbeite mit Capgemini zusammen, um das Problem zu lösen. Unklar ist, ob die Daten tatsächlich von kriminellen Hackern oder von einem Insider gestohlen wurden.

Der Analyse von Hunt zufolge gibt es Ähnlichkeiten zu einem weiteren Datenverlust. Im vergangenen Monat machte der Forscher auf eine durchgesickerte 174 GByte große MySQL-Datenbank des Australischen Roten Kreuz aufmerksam. Dabei soll es sich um ein Backup handeln. Die Datenbank mit 647 verschiedenen Tabellen soll 1,3 Millionen Zeilen mit Daten enthalten.

Beiden Vorfällen gemein ist nicht nur die verwendete SQL-Datenbank. In beiden Fällen gab es offenbar eine serverseitige Schwachstelle, eine öffentlich zugängliche Website und aktivierte Verzeichnislisten.

Den Hinweis auf die Michael-Page-Daten habe er zudem von derselben Person erhalten, die ihn auch auf den Leak des Roten Kreuz aufmerksam gemacht habe, so Hunt weiter. Die Quelle habe ihm auch einen Auszug der Michael-Page-Daten als Beweis zugeschickt.

„Es war eine 362 MByte große komprimierte Datei, die zu 4,55 GByte entpackt wurde“, schreibt Hunt. „Ein ähnliches Kompressionsverhältnis vorausgesetzt sollten die Dateien in der Verzeichnisliste mehr als 30 GByte Rohdaten enthalten, was sehr viel ist für öffentlich durchgesickerte Daten.“

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

[mit Material von Asha McLean, ZDNet.com]

Themenseiten: Capgemini, Datendiebstahl, Hacker, Privacy, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu IT-Dienstleister Capgemini verliert Daten von 780.000 Job-Bewerbern

Kommentar hinzufügen
  • Am 11. November 2016 um 15:00 von Gast

    Das ist das Problem der Digitalisierung, denn kein Einbrecher wäre auf die Idee gekommen, 750.000 herkömmliche Bewerbungsmappen zu stehlen, was aber heute, wenn man mal drin ist, doch z.T. viel zu einfach möglich ist.

  • Am 11. November 2016 um 16:45 von Frank Furter

    tja, in Zeiten in denen man davon ausgeht, auf alle Daten immer, überall und jederzeit zugreifen zu können, haben Sicherheit und Datenschutz eine nachrangige Stellung.
    Kostet ja Geld und vielleicht auch ein wenig Zeit und letzteres geht ja überhaupt nicht…

  • Am 11. November 2016 um 17:18 von J. Dickel

    Bewerbungsdaten sind natürlich besonders sensibel. Nicht nur wenn der jetzige Arbeitgeber an die Daten ran kommt. Aber auch dessen Konkurrenten oder Industriespionage betreibende Geheimdienste sind natürlich an unzufriedenen Mitarbeitern interessiert.

  • Am 14. November 2016 um 12:08 von Olaf Stöwer

    Wieder einmal sind mehr als 100.000 von persönlichen Daten abhandengekommen.
    Warum werden persönliche Daten immer noch unverschlüsselt in SQL Datenbanken abgelegt? Warum werden immer noch herkömmliche Backups erstellt?
    Dieses Beispiel zeigt zum wiederholten Mal, dass dies die falsche Strategie ist.
    Lassen Sie uns ein Auge auf die Blockchain-Technologie werfen.
    Die Blockchain schützt vor unberechtigtem Zugriff, Warum?
    Blockchain ist eine unveränderbare, hochverfügbare und verteilte Datenbank, in der alle Daten, die in sie geschrieben werden, revisionssicher und über eine Verschlüsselung vor fremden Zugriff abgeschirmt sind. Aufgrund der Blockbildung und ihres aufwendigen Verschlüsselungsverfahrens, der sogenannten Hash-Funktion, wird sie als manipulationssicher angesehen. Des Weiteren sind sehr viele Kopien der Datenbank im gesamten Netzwerk verteilt, somit ist ein klassisches Backup unnötig und damit auch eine Backupkopie nicht entwendbar. Für die Sicherung der Daten ist keine zentrale Autorität notwendig. Zudem ist der Erfolg einer Distributet Denial of Service-Attacke wesentlich geringer, denn wenn ein Knoten ausfällt ist das nicht von Bedeutung, weil mehrere Kopien im Umlauf sind. Eine Datenbank basierend auf der Blockchain-Technologie hätte den Aufwand der solch Ereignis benötigt, unbezahlbar werden lassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *