Lieferunternehmen legt 400 Millionen Datensätze im Datenschutz-Chaos offen

  • Ein beliebter südasiatischer Lieferdienst hat 400 Millionen Datensätze mit persönlichen Daten seiner Kunden preisgegeben, nachdem er einen Elasticsearch-Server falsch konfiguriert hatte, wie Forscher berichten.

    Ein Team der Bewertungsseite Safety Detectives fand die 200 GB große Fundgrube während einer einfachen IP-Adressprüfung auf bestimmten Ports. Der Server war ohne Passwortschutz oder Verschlüsselung offen gelassen worden, was bedeutet, dass jeder mit der IP-Adresse des Servers auf die Datenbank hätte zugreifen können.

    Das Team verfolgte das Leck bald zu Bykea zurück, einem in Karachi ansässigen Mietwagen- und Lieferunternehmen, das eine umfangreiche Flotte von “Motorradtaxis” anbietet, die per Smartphone-App buchbar sind.

    Laut Safety Detectives legte die Firma ihren gesamten Produktionsserver offen, einschließlich der vollständigen Namen, Telefonnummern und E-Mail-Adressen der Kunden sowie der vollständigen Namen, Telefonnummern, Adressen, Lizenznummern und ID-Karten (CNIC) der Fahrer.

    Auch die unverschlüsselten Passwörter und Logins der Bykea-Mitarbeiter befanden sich in der Fundgrube.

    Andere Informationen, die in dem Datenschutz-Chaos aufgedeckt wurden, umfassten API-Protokolle, Informationen über den Liefer- und Abholort, Fahrzeuginformationen, GPS-Koordinaten und Informationen über Benutzergeräte.

    Die Firma sicherte den Server innerhalb von 24 Stunden nach der Benachrichtigung, am 24. November.

    Wenn Cyber-Kriminelle in der Lage waren, die durchgesickerten Informationen in die Hände zu bekommen, hätten sie damit eine große Beute für die Durchführung von Folgeaktionen wie Phishing, Identitätsdiebstahl und Betrug gemacht.

    “Vollständige Namen, Wohnadressdaten, ID-Dokumente wie CNIC, Online-Login-Informationen und Standortdaten könnten potenziell von ruchlosen Benutzern ausgenutzt werden, um ahnungslose Personen, die sich bei dem Unternehmen registriert haben, ins Visier zu nehmen”, so Safety Detectives.

    “Autoregistrierungs- und Fahrzeugdaten könnten potenziell verwendet werden, um Versicherungsbetrug und andere abscheuliche Verbrechen mit gestohlenen Identitäten durchzuführen.”

    Mit den Mitarbeiter-Logins hätten Angreifer auch Ransomware und andere Angriffe gegen Bykea selbst versuchen können.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com