Ungesicherter Amazon-S3-Server: Alteryx verliert Daten von 123 Millionen US-Haushalten

Die Datenbank ist 36 GByte groß. Sie enthält mehr als 3,5 Milliarden Felder mit Informationen wie ethnische Zugehörigkeit, Finanzstatus und Adresse. Abweichend von der Amazon-Standardkonfiguration war der Server für alle authentifizierten AWS-Nutzer verfügbar.

Der kalifornische Sicherheitsanbieter UpGuard hat einen weiteren ungesicherten Amazon-S3-Server entdeckt. Gemietet wurde der Server vom Analytics-Anbieter Alteryx, der dort persönliche Daten von 123 Millionen US-Haushalten speicherte. Einige der Daten gehörten auch Partnern des Unternehmens, darunter die US-Volkszählungsbehörde Census Bureau und der Kreditversicherer Experian.

Datenschutz in der Cloud (Bild: Shutterstock)Die 36 GByte große Datei mit dem Namen „ConsumerView_10_2013“ enthält einer Analyse von UpGuard zufolge mehr als 3,5 Milliarden Felder aufgeteilt auf 123 Millionen Zeilen. Da jede Zeile für einen US-Haushalt steht, ist praktisch jeder US-Bürger von dem Datenverlust betroffen. Jedes Feld wiederum soll persönliche Daten der in dem Haushalt lebenden Personen enthalten, darunter auch Informationen über die ethnische Zugehörigkeit.

Die Datensätze seien zwar nach anonymisierten IDs organisiert, die restlichen Daten seien aber so detailliert, dass eine Identifizierung von Haushalten möglich sei, so UpGuard weiter. Neben Anschriften und Kontaktdaten soll die Datei auch Angaben zu Hypotheken, der finanziellen Situation, dem Kaufverhalten sowie Inlandsreisen enthalten. Selbst Details wie bevorzugte Haustiere und sportliche Interessen soll die Datenbank enthüllen.

Wie schon in ähnlichen Fällen, die UpGuard öffentlich gemacht hat, hatte offenbar auch Alteryx die Sicherheitseinstellungen von Amazon S3 falsch konfiguriert. Ab Werk sei der Zugriff auf die gehosteten Daten auf autorisierte Nutzer beschränkt. Die Datenbank von Alteryx sei jedoch so konfiguriert worden, dass jeder authentifizierte AWS-Nutzer die Daten einsehen und herunterladen konnte. „Einfach gesagt, ein Dummy-AWS-Konto mit einer nur dafür erstellten E-Mail-Adresse reichte, um auf die Inhalte zuzugreifen“, ergänzte UpGuard.

Ein Sprecher von Experian betonte gegenüber Forbes, dass ausschließlich Alteryx für den Datenverlust verantwortlich sei. Systeme von Experian seien nicht darin verwickelt.

UpGuard informierte Alteryx bereits Anfang Oktober über den Konfigurationsfehler. Inzwischen wurde das Sicherheitsleck offenbar gestopft. Gegenüber Forbes spielte ein Sprecher von Alteryx den Vorfall jedoch herunter. Die Datei enthalte Marketing-Daten mit auf Modellen und Schätzungen basierenden Informationen. Sie stellten kein Risiko für einen Identitätsdiebstahl dar.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

[mit Material von Asha McLean, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: AWS, Cloud-Computing, Datenschutz, Privacy, Storage

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Ungesicherter Amazon-S3-Server: Alteryx verliert Daten von 123 Millionen US-Haushalten

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *