Risiken für die Privatsphäre
Daten von britischen Pendlern exponiert
Ein fehlkonfigurierter AWS Cloud-Speicher macht die Daten von britischen Pendlern, die ein kostenloses WLAN nutzten, öffentlich einsehbar.
Save to Folio
Originalartikel von Trend Micro
Daten von britischen Pendlern, die das kostenlose WLAN in von Network Rail gemanagten Bahnhöfen (darunter London Bridge, Chelmsford, Colchester, Harlow Mill, Wickford, und Waltham Cross) nutzen, wurden aufgrund eines ungesicherten Cloud-Speichers von Amazon Web Services (AWS) unbeabsichtigt öffentlich einsehbar. Dies berichtet der Sicherheitsforscher Jeremy Fowler. Zu den exponierten Daten gehören solche zu Reisegewohnheiten der Pendler und Kontaktinformationen wie Email-Adressen oder Geburtsdaten. Ungefähr 10.000 Benutzer waren betroffen.Der Forscher entdeckte die Datenbank im Internet und stellte fest, dass sie nicht passwortgeschützt war. Die ungesicherte Datenbank könnte einen sekundären Einstiegspunkt für eine Malware-Infektion darstellen, so der Sicherheitsexperte.
Die undichte Stelle wurde dem WLAN-Provider C3UK gemeldet. Dieser erklärte, er sei der Meinung gewesen, der Speicher sei nur für ihn und das Sicherheitsteam zugänglich, und er wusste nicht, dass die Informationen öffentlich einsehbar wurden.
Die Firma hat inzwischen die exponierte Datenbank gesichert und behauptet, es handele sich dabei um eine Sicherungskopie der eigentlichen Datenbank. Der Anbieter gab auch bekannt, das Büro des britischen Datenschutzbeauftragten (Information Commissioner's Office, ICO) nicht über den Vorfall zu informieren, da die exponierten Daten weder gestohlen wurden, noch hätten Dritte darauf zugegriffen.
Sicherheit für Cloud-Speicher
Die Risiken, die von ungesicherten Daten ausgehen, machen deutlich, wie wichtig es ist, die Compliance zu den Vorschriften zum Schutz der Daten und der Privatsphäre zu gewährleisten, so wie es die Datenschutz-Grundverordnung (DSGVO), der Datensicherheitsstandard der Zahlungskartenindustrie (PCI-DSS) und der Health Insurance Portability and Accountability Act (HIPAA) vorgeben. Diese Vorschriften fordern von den Unternehmen eine adäquate Sicherung von persönlich identifizierbaren Informationen, wobei jede Verletzung von Compliance-Anforderungen zu einer Geldstrafe führen kann.
Um Cloud-Speicherplattformen bestmöglichst zu schützen, sollten Unternehmen Best Practices für die stärkere Kontrolle der Authentifizierung und des Identitäts- und Zugriffsmanagements umsetzen. Zudem ist eine sorgfältige Konfiguration der Sicherheitseinstellungen von zentraler Bedeutung.
Zusätzlich unterstützen Sicherheitslösungen, die speziell für Cloud-Umgebungen konzipiert sind, Unternehmen beim Schutz ihrer Daten. Trend Micro™ Cloud One™ Cloud Conformity Security ist darauf ausgerichtet, Sicherheit für die Cloud-Infrastruktur in Echtzeit zu gewährleisten. Zudem unterstützt sie durch die Automatisierung von Sicherheits- und Konformitätsprüfungen Unternehmen bei der Einhaltung von Vorschriften wie DSGVO, PCI-DSS, HIPAA und bei der Umsetzung der branchenüblichen Best Practices für Cloud-Plattformen und -Dienste. Auch bietet die Lösung vollständige Transparenz, ein vereinfachtes Reporting und nahtlose Workflow-Integration.
Der Einsatz weiterer Lösungen für die Cloud fügt eine zusätzliche Schutzschicht hinzu. Trend Micro™ Cloud One™ File Storage Security sichert Cloud-Datei- und Objekt-Storage. Trend Micro™ Hybrid Cloud Securitysichert hybride Umgebungen für physische, virtuelle und Cloud-Workloads. Trend Micro™ Deep Security™ for Cloud dient der proaktiven Erkennung auch von unbekannten Bedrohungen, während Trend Micro™ Deep Security as a Service speziell auf den Schutz von AWS, Azure und VMware-Systemen ausgerichtet ist.