Der Wert privater Benutzerdaten für ein Jahrzehnt wurde von Rallyhood offengelegt

Als Zack Whittaker von TechCrunch sich mit Rallyhood in Verbindung setzte, um über einen falsch konfigurierten S3-Bucket zu sprechen, der eine Menge Benutzerdaten enthüllte, wurde ihm zunächst mitgeteilt, dass die undichte Datenbank nur zu Testzwecken verwendet wurde und dass die tatsächlichen Informationen der Personen in a gespeichert waren hochsicherer Eimer. ' Später stellte Chris Alderson, Chief Technology Officer von Rallyhood, eine andere Version der Ereignisse zur Verfügung. Er gab zu, dass während eines Migrationsprojekts "Berechtigungen für einen kurzen Zeitraum" fälschlicherweise für einen der Lagereimer des Unternehmens offen gelassen wurden. Zum Zeitpunkt des Schreibens ist dies die einzige Information, die Rallyhood mit dem Rest der Welt über den Vorfall geteilt hat, und es muss gesagt werden, dass dies angesichts der Menge und Art der durchgesickerten Daten kaum ideal ist.

An einem anderen Tag enthüllt ein anderer undichter S3-Bucket die Dateien von Millionen von Benutzern

Das Leck wurde von einem Sicherheitsforscher entdeckt, der es vorzieht, unter seinem Twitter-Handle Timeless bekannt zu sein. Timeless entschied sich, den Einfluss von TechCrunch zu nutzen, um sicherzustellen, dass die Daten so schnell wie möglich gesichert werden. Dies war angesichts des Geschäfts von Rallyhood und der enormen Nutzerbasis in der Tat die dringendste Aufgabe.

Die Popularität der Website wurde massiv gesteigert, als Yahoo bekannt gab, dass es im Begriff ist, Yahoo-Gruppen zu streichen, und Horden von Menschen ihre Diskussionen auf Rallyhood verlegten. Wir sollten jedoch darauf hinweisen, dass Rallyhood viel mehr als nur ein Messaging Board ist. Es ist auch eine Kollaborationsplattform, die von Organisationen aller Formen und Größen verwendet wird, um Aufgaben und Ereignisse zu organisieren und zu verfolgen. Dies bedeutet, dass Rallyhood viele Daten verarbeiten und speichern muss.

Das Unternehmen wird nicht sagen, wie viele aktive Benutzer die Plattform hat, und eine genaue Schätzung der Anzahl der von dem Leck betroffenen Personen ist derzeit nicht wirklich möglich. Was wir wissen ist, dass der S3-Bucket satte 4,1 TB Daten enthielt und dank eines allzu häufigen Konfigurationsfehlers ohne Passwort öffentlich zugänglich war. Laut Zack Whittaker war die URL ebenfalls "leicht zu erraten", was die Möglichkeit, dass jemand die Informationen in die Hände bekommt, noch realer machte.

Einige der exponierten Daten sind äußerst sensibel

Whittaker überprüfte einige der Dateien und fand Kontaktdaten, die es ihm ermöglichten, mit den betroffenen Benutzern in Kontakt zu treten und die Echtheit des Lecks zu überprüfen. Leider enthielt der Eimer neben Telefonen und E-Mail-Adressen noch viel mehr Informationen.

Der Reporter von TechCrunch fand alles, von Verträgen und Erlaubnisscheinen bis hin zu Geheimhaltungsvereinbarungen und Listen gemeinsamer Passwörter, die definitiv nicht öffentlich zugänglich sein sollten. Wie bereits erwähnt, versuchte der CTO von Rallyhood, den Schaden zu begrenzen, indem er TechCrunch mitteilte, dass die Exposition nicht lange anhielt, aber er wollte lieber nicht sagen, wie "kurz" die "kurze Zeit" war. Was wir sicher wissen, ist, dass einige der Dateien in der durchgesickerten Datenbank einen Zeitstempel von 2011 hatten. Leider weigerte sich Rallyhood, TechCrunch mitzuteilen, ob das Unternehmen Pläne hat, die potenziell betroffenen Personen darüber zu informieren, obwohl sich in der falsch konfigurierten Datenbank private Dateien im Wert von fast einem Jahrzehnt befanden.

Alles in allem hat Rallyhood bisher einen deutlichen Mangel an Transparenz bei der Behandlung eines zweifellos ziemlich schwerwiegenden Datenlecks gezeigt. Das Unternehmen hat eindeutig einen Fehler gemacht, was kaum gut ist, aber der wirklich schlechte Eindruck kommt von der Tatsache, dass es so tut, als ob es nicht bereit wäre, die Verantwortung zu übernehmen.