Ein Datenverstoß auf der spanischen E-Learning-Plattform 8Belts betrifft mehr als 150.000 Benutzer weltweit

8Belts Data Breach

8Belts ist eine spanische Online-Lernplattform, die sich auf Fremdsprachenkurse spezialisiert hat. Es wurde 2011 gegründet und teilweise vom Europäischen Fonds für regionale Entwicklung der EU und der spanischen Regierung finanziert. Laut den Sicherheitsforschern Noam Rotem und Ran Locar wird 8Belts jedoch von Menschen aus der ganzen Welt verwendet, darunter Angola, Australien, Barbados, Belgien, USA und Usbekistan. Sie fragen sich vielleicht, woher einige Sicherheitsexperten so viele Details über die Nutzerbasis einer E-Learning-Plattform wissen. Leider haben sie gefunden, die Informationen in einer ungeschützten Datenbank.

Ein anderer Tag, eine andere exponierte Datenbank

Wie einige von Ihnen vielleicht wissen, leiten Rotem und Locar ein Forscherteam, das für VPNMentor arbeitet. In den letzten Monaten haben sie an einem massiven Web-Mapping-Projekt mit dem Ziel gearbeitet, die allgemeine Datensicherheit zu verbessern. Dabei haben sie jedoch gezeigt, wie einfach es ist, Gigabyte an privaten Informationen verfügbar zu machen.

Dienstanbieter machen eine Reihe von Fehlern. Einer der häufigsten Fehler besteht darin, eine Datenbank mit persönlichen Daten der Benutzer in einem öffentlich zugänglichen Amazon Web Service S3-Bucket zu belassen. Sie vergessen oft, den Bucket mit einem Passwort zu schützen, und setzen ihn dabei versehentlich jedem mit einer Internetverbindung aus. Viele Unternehmen haben dies getan, und Mitte April stellten die Forscher von VPNMentor fest, dass 8Belts dem Club beigetreten war.

8Belts legen eine Produktionsdatenbank in einem öffentlichen S3-Speicherbereich ab

Als die Experten die Datenbank fanden, stellten sie fest, dass einige der darin enthaltenen Datensätze aus dem Jahr 2017 stammen. Während sie jedoch versuchten herauszufinden, wer der Eigentümer ist, stellten sie fest, dass Informationen in Echtzeit hinzugefügt wurden. Mit anderen Worten, es war eine aktive Produktionsdatenbank, die die Details brandneuer 8Belts-Benutzer sammelte. Es gab auch ziemlich viele Details.

In einer der CVS-Dateien sahen die Experten die Aufzeichnungen von nicht weniger als 150.000 8Belts-Benutzern. Jeder Datensatz enthielt die folgenden Details:

  • Namen
  • E-Mail-Addresse
  • Telefonnummer
  • Land des Wohnsitzes
  • Geburtsdatum

Leider enthielten andere Dateien im Eimer noch vertraulichere Daten, einschließlich der nationalen ID-Nummern von Studenten und Mentoren.

Der Verstoß hätte schreckliche Folgen für 8Belts und seine Kunden haben können

Sie können bereits sehen, dass auf der spanischen E-Learning-Plattform viele personenbezogene Daten verloren gingen und dass das, was die Forscher als "signifikante Lücke in den Sicherheitsprotokollen von 8Belts" bezeichneten, zu zahlreichen Fällen von Identitätsdiebstahl hätte führen können. Leider war das nicht alles.

8Belts prahlt auf seiner Website damit, den Mitarbeitern einer Reihe großer, weltbekannter Unternehmen Fremdsprachenkurse anzubieten. Unter seinen Partnern finden Sie Unternehmen wie Huawei, Deloitte, PricewaterhouseCoopers, Santander usw. Sicherlich befanden sich die persönlichen Daten der Mitarbeiter dieser Unternehmen auch in der Datenbank von 8Belts. Dies hat nicht nur die Mitarbeiter selbst entlarvt, sondern auch die Kunden der Lernplattform gefährdet.

Darüber hinaus entdeckte das VPNMentor-Team Serverprotokolle, die zeigten, wie einige der Backend-Systeme von 8Belts funktionieren. Diese Informationen hätten Cyberkriminellen helfen können, die Online-Lernplattform selbst zu hacken und einen unkalkulierbaren Schaden zu verursachen.

Der undichte Eimer wurde leise offline gezogen

Einige Tage nach der Entdeckung der offengelegten Informationen versuchten die Forscher, sich mit 8Belts in Verbindung zu setzen, um den Verstoß aufzudecken und weitere Unterstützung anzubieten. Während sie auf eine Antwort warteten, kontaktierten sie auch Amazon und informierten den Speicheranbieter über die offengelegten Informationen. Am Ende erhielten sie keine Antwort, aber als sie einige Wochen später nachschauten, stellten sie fest, dass die Datenbank offline gezogen worden war. Obwohl VPNMentor seinen Bericht vor einigen Tagen veröffentlicht hat, hat 8Belts noch nichts angeboten, was einer offiziellen Erklärung ähnelt.

Wie bei vielen ähnlichen Lecks haben wir zwar keine Hinweise auf einen Missbrauch der offengelegten Daten gesehen, aber dies sollte niemals ein Grund sein, das Problem zu ignorieren oder vorzutäuschen, dass es nicht aufgetreten ist. Im Gegenteil, die Entdeckung sollte 8Belts als Anreiz dienen, seinen Kunden zu zeigen, dass es entschlossen ist, dies nicht noch einmal zuzulassen.

June 4, 2020
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.