Paleo Lifestyle Website gefunden undicht PII auf 70.000 Benutzer

Cyber Security News

Ein falsch konfigurierter AWS S3-Bucket hat persönliche Daten von 70.000 Kunden einer beliebten Paleolithic-Lifestyle-Site preisgegeben, wie Sicherheitsforscher von vpnMentor herausgefunden haben.

Das Forschungsteam unter der Leitung von Noam Rotem entdeckte die 290 MB große Datenmenge am 4. Februar und verfolgte sie zurück zu Paleohacks, einer US-amerikanischen Gesundheits- und Lifestyle-Marke, die Inhalte und Ressourcen über die Paleo-Diät anbietet.

Zum Zeitpunkt des Schreibens hat das Unternehmen jeden Versuch ignoriert, den wir unternommen haben, um ihnen zu helfen, die Sicherheitslücke zu schließen, und uns gesagt, dass sie “nicht interessiert” sind”, behauptete vpnMentor gestern in einem Blogbeitrag.

Die undichte Datenbank offenbar ausgesetzt, die persönlich identifizierbare Informationen (PII) von rund 70.000 Benutzer der Website weltweit, aus dem Jahr 2015 zurück.

Die offengelegten PII umfassen vollständige Namen, Benutzernamen, Geburtsdaten, E-Mail- und IP-Adressen, gehashte Passwörter, Arbeitgeberdetails, Standort und mehr.

Ebenfalls offengelegt wurden Passwort-Reset-Tokens für einige Abonnement-Kontoinhaber.

“Während die Passwörter durch den bcrypt-Hashing-Algorithmus (eine ausgeklügelte Form der Passwortverschlüsselung) geschützt waren, konnte ein Hacker die Token leicht verwenden, um das Passwort einer Person zurückzusetzen, Zugang zu erhalten und den ursprünglichen Benutzer aus seinem Konto zu sperren”, argumentierte vpnMentor.

“Auf diese Weise könnten die Hacker die Kontrolle über Tausende von Paleohacks-Konten und alle darin gespeicherten Daten übernehmen.”

Betroffene Benutzer könnten auch Ziel von Folge-Phishing-Attacken und anderen Identitätsbetrügereien werden, wenn die Angreifer in den Besitz ihrer Daten gelangen, warnten die Forscher.

Paleohacks könnten auch die kalifornischen Datenschutzbehörden und sogar die GDPR auf den Plan rufen, wenn EU-Bürger ihre Daten preisgegeben haben, argumentierte vpnMentor.

Der S3-Bucket wurde im Rahmen eines großen Web-Scanning-Projekts entdeckt, bei dem das Forschungsteam nach exponierten Cloud-Datenbanken scannt. Es fand den beanstandeten Bucket ungesichert und unverschlüsselt.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com