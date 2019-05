Ein Dienstleistungsunternehmen für die US-Immobilienbranche hat hunderte Millionen Datensätze zu Vertragsabschlüssen mit vertraulichen Informationen offen auf seiner Website dargeboten. Die Datensätze waren über eine geeignete URL ohne Passwort zugänglich, die Vertragsnummer ließ sich beliebig ändern, berichtet IT-Sicherheitsspezialist Brian Krebs. Mittlerweile ist die Website offline genommen worden.

885 Millionen Datensätze aus 16 Jahren im Zugriff

Das Unternehmen First American Financial ist ein Dienstleister für US-amerikanische Versicherungen und verwaltet die Unterlagen der Verträge zu Immobilienversicherungen und -käufen. Wie Krebs mitteilt, untersuchte er nach einem Hinweis des Entwicklers Ben Shoval die Website des Unternehmens. Shoval hatte nach einem eigenen Vertragsabschluss eine E-Mail von First American Financial mit einem entsprechenden Link zu seinen Dokumenten erhalten.

Krebs entdeckte, dass dort etwa 885 Millionen Datensätze mit meist eingescannten Vertragsunterlagen frei zugänglich waren. Die Daten waren ohne Passwort nur über eine entsprechende URL erreichbar, was grundsätzlich noch kein unverhältnismäßiges Risiko darstellt – jedoch enthielt die URL lediglich eine neunstellige Datensatznummer, die durch simples Erhöhen oder Verringern auf einen neuen Datensatz verwies. Die Vertragsunterlagen enthielten vertrauliche Informationen wie Sozialversicherungsnummern, Führerscheindaten, Kontoauszüge und in manchen Fällen firmeninterne Dokumente, wenn der Vertragspartner ein Unternehmen war.

Offenbar hat First American Financial elementarste Maßnahmen der IT-Sicherheit ignoriert, denn ohne Passwortschutz muss die URL eines Dokuments so gestaltet sein, dass sie sich nicht 'erraten' lässt und Daten durch schlichtes Ausprobieren eines URL-Bestandteils abrufbar sind. Das Dokument mit der niedrigsten Nummer, das Krebs sichtete, datiert auf das Jahr 2003 zurück. Nach Prüfung von archive.org nimmt Krebs an, dass die Unterlagen zumindest seit März 2017 in dieser Weise offen zugänglich gewesen sein müssten.

Keine Auskunft zu unbefugten Zugriffen

Nach einem Hinweis von Krebs nahm das Unternehmen die Website offline und teilte mit, dass ein "Design-Defekt" in einer Anwendung womöglich unautorisierten Zugriff auf Kundendaten erlaubt habe. Da "Sicherheit, Privatsphäre und Vertraulichkeit höchste Priorität" für das Unternehmen hätten, habe man sofort reagiert und analysiere den Vorfall nun. "Wir untersuchen derzeit, welchen Effekt – und ob überhaupt – das auf die Sicherheit der Kundendaten hatte", schreibt das Unternehmen.

Gegenüber The Verge teilte First American Financial außerdem mit, man habe ein externes Forensikunternehmen damit beauftragt "uns zu versichern, dass es keinen nennenswerten unautorisierten Zugriff auf unsere Kundendaten gegeben hat."

Derart massive Datenlecks gibt es immer wieder, und Dienstleistungsunternehmen großer Kundenkreise sind dafür ein lukratives Ziel. Ende 2018 etwa waren bei der IT-Tochter der Hotelkette Marriott 383 Millionen Kundendatensätze im Zugriff von Unbefugten – unter den gespeicherten Informationen fanden sich hochsensible Daten wie Passnummern. (tiw)