Einmal mehr sind Sicherheitsforscher auf eine ungesicherte Datenbank gestoßen. Diesmal fanden sie hier umfassende Informationen über Millionen europäische Nutzer von E-Commerce-Angeboten wie
Amazon,
eBay, Shopify, PayPal und Stripe.
Technisch handelte es sich um eine MongoDB-Datenbank, die auf einer Instanz der AWS-Cloud Amazons gespeichert war. Die allgemeine Verfügbarkeit aus dem Netz konnte bis zum 3. Februar zurückverfolgt werden. Damals konnten auch Suchmaschinen-Bots die Datenbank über fünf Tage hinweg komplett indizieren, wodurch es gut möglich ist, dass auch andere Nutzer seitdem auf die enthaltenen Informationen gestoßen sind.
Gefunden wurde die Datensammlung von Mitarbeitern des Security-Unternehmens
Comparitech, die sich anschließend mit Kollegen in anderen Unternehmen, die sich besser mit solchen Fällen auskennen, verständigten. Nach einigen Tagen konnte erreicht werden, dass die Datenbank nicht mehr von Außen erreichbar war. Dass die Öffentlichkeit erst jetzt informiert wird, liegt an den Nachbereitungen und weitergehenden Beobachtungen, ob beispielsweise enthaltene Informationen irgendwo zum Verkauf angeboten werden.
Umfassende Aufzeichnungen
Wie genau die Sammlung zusammenkam ist bisher unklar. Möglicherweise stammen die Daten von verschiedenen Händlern, die diverse Plattformen zum Vertrieb ihrer Produkte nutzen. Enthalten waren Namen, Lieferadressen, E-Mail-Adressen, Telefonnummern, Bestellungen, Zahlungsinformationen und Provisions-Links zu externen Diensten wie Stripe und Shopify. In einigen Fällen wurden auch Teile von Kreditkartennummern gespeichert.
Unklar ist, wie viele Nutzer genau betroffen sind, da einige Einkäufer auch mehrere Datensätze generiert haben können. Insgesamt umfasste die Datenbank etwa acht Millionen Einträge. Rund die Hälfte stammte dabei von Nutzern aus Großbritannien, der Rest verteilte sich auf diverse europäische Länder.
Siehe auch: Virgin Media verliert User-Datenbank mit Porno-Freischaltungs-Anträgen 