Post stellt MySQL-Datenbank mit 200.000 Adressdaten ins Netz

Bei der Post sind Daten von mehr als 200.000 Nutzern mehr oder weniger offen im Netz gestanden. Über das Portal umziehen.de können Personen nach einem Umzug eine Nachsende-Adresse eingeben. Eigentlich hinterlassen die Nutzer hier Informationen wie alte und neue Adresse, um weiterhin Briefpost zugestellt zu bekommen. Gleichzeitig werden Organisationen wie Versicherungen und Banken über die neue Adresse informiert.

Wie ein Sprecher der Post am Mittwoch mitteilte, konnte über einen einfachen Abruf praktisch jeder mit einem Internetzugang, die aktuellen Daten herunterladen. Dafür musste lediglich in die Adresszeile des Browser https://www.umziehen.de/dump.sql” eingegeben werden. Inzwischen ist das Problem behoben.

Der Sprecher entschuldigte sich für die Datenpanne. Es sei derzeit nicht möglich nachzuprüfen, ob tatsächlich auch Daten abgefischt wurden. Auch habe man inzwischen die Landesbeauftragte für Datenschutz in Nordrhein-Westfalen von dem Vorfall informiert.

Die Panne sei entstanden, weil eine Sicherungskopie der Daten nicht wie vorgeschrieben gelöscht worden war. Laut Sprecher umfasst der Datensatz Namen, Mail-Adresse, Umzugsdatum sowie alte und neue Adresse.

Entdeckt hat das Leck der Zeit-Autor Hanno Böck, der auch bei anderen großen Webseitenbetreibern fündig geworden ist. So wurde im aktuellen Fall eine Sicherhungskopie mit der verbreiteten quelloffenen Datenbank MySQL angefertigt. In einer Dokumentation, die das genaue Vorgehen beschreibt, wird ebenfalls der Dateiname “dump” verwendet. Offenbar wurde die Kopie exakt nach diesen Vorgaben erstellt und auf einem Server abgelegt. Dadurch konnte die Kopie dann auch über die Eingabe von dump.sql heruntergeladen werden.

Böck habe in vielen weiteren weiteren Fällen mit solchen generischen Dateinamen Erfolg gehabt. So habe er auf mehr als 2.000 weitere Datenbanken zugreifen können und habe beispielsweise bei einer australischen Online-Apotheke 600.000 Kundendaten mit den entsprechenden Bestellungen herunterladen können. Laut eigenen Angaben habe Böck dann die Betreiber der Seiten informiert.

Böck erklärt, dass davon auszugehen sei, dass solche Datenbanken von Dritten abgeschöpft werden. Denn auf seiner eigenen Web-Seite registriere er immer wieder entsprechende Anfragen mit nicht öffentlichen Dateinamen in den Log-Dateien. Ob diese Versuche von Kriminellen oder von Sicherheitsforscher unternommen werden, lasse sich nicht sagen.

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Über 350.000 Exchange-Server anfällig für Angriffe

Obwohl Microsoft bereits im Februar einen Patch für die Lücke CVE-2020-0688 veröffentlicht hatte, sind aktuell noch über 350.000 Exchange-Server anfällig…

12 Stunden ago

Trotz COVID-19-Pandemie: Samsung meldet Umsatz- und Gewinnplus im ersten Quartal

Die Einnahmen verbessern sich um fünf Prozent. Beim operativen Profit erzielt Samsung ein Plus von 2,7 Prozent. Die vollständige Bilanz…

17 Stunden ago

Bericht: Facebook droht wegen Marketplace neuer Ärger mit EU-Kartellwächtern

Brüssel verschickt Fragebögen an Mitbewerber im Bereich Online-Kleinanzeigen. Facebook soll seine dominante Position missbrauchen und sich mit Daten von Nutzern…

19 Stunden ago

Xiaomi Mi Note 10 mit 108-Megapixel-Sensor für 390 Euro erhältlich

Mit einem Preis von unter 400 Euro ist das Xiaomi Mi Note 10 das günstigste Smartphone, das im DxOMark-Kameratest im…

19 Stunden ago

DarkHotel: Hacker greifen chinesische Behörden über VPN-Zero-Day-Lücke an

Die Hacker schleusen über kompromittierte VPN-Server von Sangfor einen Backdoor-Trojaner ein. Möglicherweise geht es ihnen um Informationen über die COVID-19-Pandemie.…

21 Stunden ago

Zoom räumt ein: Hauseigene Verschlüsselungstechnik ist unzureichend

Forscher stufen die Verschlüsselung als ungeeignet für Behörden und Unternehmen ein. Eine Schwachstelle in der Wartezimmer-Funktion behebt Zoom kurzfristig. Zoom…

22 Stunden ago