Ein Datenleck in einer schockierenden Schlüsselring-App hat 14 Millionen Benutzer entlarvt

Wenn Sie immer noch der Meinung sind, dass schwerwiegende Datenlecks nicht so häufig sind, haben wir eine Geschichte, die möglicherweise Ihre Meinung ändern wird. Im Januar fand ein Forscherteam unter der Leitung von Noam Rotem und Ran Locar einen schlecht konfigurierten AWS S3-Bucket, der eine große Menge an Informationen enthielt. Leider gaben die Experten in ihrem Artikel für vpnMentor zu, dass sie zu diesem Zeitpunkt so beschäftigt waren, andere Datenlecks zu melden, dass sie das Problem nicht sofort untersuchen und die für die Exposition verantwortlichen Personen nicht benachrichtigen konnten. Erst etwa einen Monat später machten sie sich endlich daran, an diesem speziellen Leck zu arbeiten.

Dienstanbieter haben immer noch Schwierigkeiten, die Sicherheitsmechanismen von Cloud-Speicherlösungen in den Griff zu bekommen, und Lecks treten links, rechts und in der Mitte auf. Die Experten können nicht mithalten, und wie immer trägt der ahnungslose Benutzer die Konsequenzen. In diesem Fall waren die möglichen Folgen enorm.

Die Schlüsselring-App stellt die digitalen Geldbörsen der Benutzer der ganzen Welt zur Verfügung

Der erste Eimer, den die Forscher fanden, enthielt satte 44 Millionen Bilder. Es sind viele Daten, aber der wirklich schockierende Teil ist die Art der offengelegten Informationen. Als sie die Zeit für eine Untersuchung gefunden hatten, stellten die Forscher fest, dass der falsch konfigurierte S3-Bucket zu Key Ring gehört - einer mobilen Anwendung, mit der Sie unter anderem den größten Teil des Inhalts Ihrer Brieftasche digitalisieren können. Sie können damit virtuelle Kopien von Denkweisen wie Mitgliedskarten und Geschenkkarten fotografieren und speichern. Einige der 14 Millionen Nutzer der App haben auch Scans ihrer Kreditkarten und Personalausweise hochgeladen. Während sie das machten, dachten sie wahrscheinlich, dass ihre Daten sicher gespeichert werden würden. Sie lagen falsch.

Der falsch konfigurierte S3-Eimer enthielt Scans von Kreditkarten, Mitgliedschafts- und Kundenkarten, medizinischen Cannabiskarten, Führerscheinen und anderen Ausweisdokumenten. Die Bilder wurden vollständig im Klartext gespeichert und waren von überall auf der Welt zugänglich. Sie können bereits sehen, wie stark sich das Leck auf Benutzer auswirken kann. Leider war das nicht das Ende.

Die falsch konfigurierten S3-Eimer des Schlüsselrings haben Unmengen persönlicher Informationen verloren

Im selben Eimer fanden die Forscher einige CSV-Dateien, die personenbezogene Daten (PII) enthielten, die Millionen von Menschen gehören. Diese Personen standen auf den Mitgliederlisten von Key Ring-Partnern wie Walmart, und die Listen enthielten eine Vielzahl persönlicher Daten wie Namen, Adressen, Geburtsdaten usw.

Nach etwas mehr Stöbern fanden das Team von Noam Rotem und Ran Locar vier weitere falsch konfigurierte S3-Eimer, die mit dem Schlüsselring verbunden waren. Sie enthielten alte Schnappschüsse der App-Datenbank und enthüllten unter anderem die E-Mail- und Privatadressen der Benutzer, IPs, Geräteinformationen usw. Die Datenbanken enthielten auch Passwörter, die nach Angaben der Forscher "verschlüsselt" waren. Leider bleibt der Mechanismus zum Verwürfeln unklar.

Es ist auch nicht bekannt, ob die Forscher die einzigen waren, die es geschafft haben, die exponierten Daten zu finden. Am 18. Februar gelang es ihnen schließlich, mit Key Ring und Amazon in Kontakt zu treten, und zwei Tage später wurden die Eimer offline gezogen, aber zu diesem Zeitpunkt wissen wir noch nicht, wann sie überhaupt aufgestellt wurden. Leider sollten wir darauf hinweisen, dass die Haltung von Key Ring gegenüber dem Vorfall, obwohl die Informationen relativ schnell gesichert wurden, kaum vorbildlich ist.

Wenn solche Lecks auftreten, erwarten Benutzer individuelle Benachrichtigungen, die ihnen mitteilen, was passiert ist und worauf sie achten müssen. In der Zwischenzeit erwartet die Öffentlichkeit eine offizielle Ankündigung des Anbieters, die auch Einzelheiten zum Vorfall und zu den Vorkehrungen enthält, die getroffen wurden, um sicherzustellen, dass er nicht erneut auftritt. Mit Key Ring haben wir keines dieser Dinge gesehen.

Das Volumen der offengelegten Daten in Verbindung mit dem Fehlen einer offiziellen Antwort bedeutet, dass wir nur davon ausgehen können, dass alle 14 Millionen Key Ring-Benutzer betroffen sind. Wenn Sie einer von ihnen sind, müssen Sie viel vorsichtiger sein als normalerweise, insbesondere wenn Sie vertrauliche Daten in der App gespeichert haben.