Kundendaten wurden unbekannten Parteien in einem DigitalOcean-Datenleck ausgesetzt

In der Vergangenheit haben wir gelernt, Datenverletzungen mit Cyberkriminellen in Verbindung zu bringen, die clevere Techniken verwenden, um sich an den Abwehrmechanismen der Zielorganisationen vorbei zu hacken und die persönlichen Daten der Benutzer zu stehlen. Zwar gefährden Hacker Online-Dienste aller Formen und Größen, doch heutzutage ist die Datenexposition häufig das Ergebnis von Fehlern, die von den Dienstanbietern selbst begangen wurden.

Sicherheitsforscher finden ungeschützte Server und versehentlich exponierte Datenbanken, die täglich Terabyte an privaten Informationen enthalten, und fordern Unternehmen ständig auf, ihre Datenspeicherungsverfahren zu verschärfen. Leider treten weiterhin Lecks auf, und dies ist zumindest teilweise darauf zurückzuführen, dass die Menschen diese Vorfälle tendenziell unterschätzen. Wenn die Experten eine exponierte Datenbank finden, können sie häufig nicht sagen, ob es einem Dritten gelungen ist, auf die Daten vor ihnen zuzugreifen, und da Dienstanbieter in der Regel unmittelbar danach keine böswilligen Aktivitäten bemerken, gehen die Leute davon aus, dass das Leck vorliegt ist belanglos. DigitalOcean, einer der weltweit größten Hosting-Anbieter, hat kürzlich einige Kundendaten veröffentlicht und gezeigt, wie gefährlich diese Mentalität sein kann, dass kein Schaden angerichtet wird.

DigitalOcean macht ein Dokument voller Benutzerdaten verfügbar

Letzte Woche hat DigitalOcean begonnen, einige seiner Kunden über ein Datenleck zu informieren. Anscheinend hatte ein Mitarbeiter versehentlich ein internes Dokument über einen öffentlichen Link zur Verfügung gestellt. Zu den offengelegten Daten gehören E-Mail-Adressen und Kontonamen sowie kontospezifische Details wie Bandbreitennutzung, Anzahl der Droplets und Support-Hinweise. Die Beträge, die betroffene Benutzer im Jahr 2018 für Hosting-Dienste bezahlten, wurden ebenfalls offengelegt, obwohl das Unternehmen fest davon überzeugt war, dass die Finanzinformationen der Menschen nicht betroffen waren.

Die Benachrichtigung über Verstöße wurde nie in eine offizielle Erklärung oder Pressemitteilung umgewandelt, und Sie können wahrscheinlich sehen, warum. Das Dokument enthält keine besonders vertraulichen Informationen, und abgesehen von den E-Mail-Adressen und den Kontonamen gibt es kaum etwas, was die Hacker nützlich finden könnten. Als Medien wie ZDNet die Nachrichten aufnahmen, sagte ein DigitalOcean-Sprecher, dass nur rund 1% der Kunden des Unternehmens betroffen seien. Mit anderen Worten, das Leck scheint nicht besonders bemerkenswert zu sein. Aus pädagogischer Sicht kann es jedoch äußerst nützlich sein, insbesondere für Menschen, die die mit dieser Art von Lecks verbundenen Gefahren tendenziell unterschätzen.

Nicht autorisierte Dritte haben 15 Mal auf die Daten zugegriffen

DigitalOcean sagte, dass es infolge des Verstoßes keine beobachtbaren abnormalen Aktivitäten in Bezug auf die Konten von Personen gegeben habe. Das Unternehmen gab jedoch zu, dass das Dokument 15 Mal von nicht autorisierten Dritten abgerufen wurde, bevor es entfernt wurde.

Dies ist nicht das schlimmste Leck, das wir je gesehen haben, aber wir hoffen, dass die Leute darauf achten, denn es kann ein harter Beweis dafür sein, dass früher oder später jemand Informationen erhält, wenn diese im Internet verbleiben dazu. Diese Informationen können (und sind oft) äußerst sensibel, und die Menschen müssen lernen, dass selbst wenn kein nachweislicher Missbrauch vorliegt und sie öffentlich zugänglich gemacht werden, sie als gefährdet angesehen werden sollten.

Hoffentlich werden Unternehmen wie DigitalOcean alles tun, um sicherzustellen, dass Vorfälle wie dieser so selten wie möglich sind, und hoffentlich erkennen Benutzer endlich, wie gefährlich sie sein können.