Dow Jones Cloud-Leck legt Daten von Millionen Abonnenten offen – Veri Sızıntısı
Live
Suche
Unternehmen
Über uns Gründernotiz Presse & Medien Datenschutzerklärung Nutzungsbedingungen FAQ Brand Kit
Produkte
HUBOne HUBCorp Demnächst Veri Sızıntısı Android Demnächst Veri Sızıntısı iOS Demnächst Veri Sızıntısı Huawei Demnächst Breach Radar Argus Flow Argus Engine LivePlatform
Technologien
Was ist Argus AI? In HUBOne ausprobieren Was ist Argus Flow? Was ist Argus Engine?
Blog Kontakt

Dow Jones Cloud-Leck enthüllt Daten von Millionen

Ein falsch konfigurierter Cloud-Server von Dow Jones, der Muttergesellschaft des Wall Street Journal, hat die persönlichen und finanziellen Daten von Millionen von Abonnenten ungeschützt gelassen. Das von der Cybersicherheitsfirma UpGuard entdeckte Leck ist ein Beweis dafür, wie ein einfacher Fehler massive Konsequenzen haben kann.

Eine Wolke und ein zerbrochenes Vorhängeschloss-Symbol über dem Dow Jones-Logo

Was ist passiert

Alles begann wieder einmal mit diesem vertrauten Szenario. Ein großes Unternehmen, Eigentümer einiger der angesehensten Finanzpublikationen der Welt, lässt irgendwo in der Cloud eine Tür weit offen stehen. Diesmal steht Dow Jones & Company auf der Bühne, die Muttergesellschaft von Publikationen wie dem Wall Street Journal und Barron's. Cybersicherheitsforscher entdeckten, dass einer der Amazon Web Services (AWS) S3-Speicher-Buckets des Unternehmens völlig ungeschützt und öffentlich zugänglich war. Das bedeutet, jeder, der die richtige Adresse kannte, konnte auf sensible Informationen von Millionen von Abonnenten zugreifen, ohne auf Hindernisse zu stoßen, nicht einmal ein Passwort war nötig.

Der Vorfall wurde von der Cybersicherheitsfirma UpGuard aufgedeckt, die für ihre Arbeit beim Scannen nach solchen offenen Servern bekannt ist. Bei ihren Routineprüfungen stießen die Forscher auf diesen riesigen Datenschatz. Um es klar zu sagen, dies war kein Hack. Niemand hat komplexen Code geschrieben, um in die Systeme von Dow Jones einzudringen. Die Situation ist viel einfacher und vielleicht deshalb tragikomischer: Jemand hat eine Einstellung falsch konfiguriert. Ein Server wurde als „öffentlich“ statt als „privat“ markiert, und niemand hat es bemerkt. Bis die Forscher von UpGuard anklopften.

Lecks dieser Art gehören zu den häufigsten und doch am besten vermeidbaren Problemen in der Welt der Cybersicherheit. Wenn sich Unternehmen auf die Flexibilität und Leistungsfähigkeit der Datenverlagerung in die Cloud konzentrieren, können sie die grundlegendsten Sicherheitsprotokolle übersehen. Ein einziger falscher Klick eines Entwicklers oder Systemadministrators kann die Daten von Millionen von Menschen mitten im Internet preisgeben. Der Fall Dow Jones ist ein Lehrbuchbeispiel dafür. Millionen von Dollar für Sicherheitsbudgets, Software, Berater... alles scheint durch eine einzige Fehlkonfiguration nutzlos geworden zu sein.

Wurde Ihre E-Mail geleakt? Kostenlos prüfen — Ergebnis in Sekunden.

Jetzt Prüfen →

Die enthüllten Daten

Was genau befand sich also in diesem unverschlossenen digitalen Tresor? Die Liste ist ziemlich lang und, wenn man die Klientel eines Finanzverlagsriesen bedenkt, auch ziemlich wertvoll. Laut dem Bericht von UpGuard enthielt die durchgesickerte Datenbank Informationen von schätzungsweise 2,2 bis 4 Millionen Abonnenten. Hier ist eine Aufschlüsselung einiger dieser Daten:

  • Persönlich identifizierbare Informationen (PII): Vollständige Namen, Privat- und Geschäftsadressen, E-Mail-Adressen und Telefonnummern. Dies ist das grundlegende Arsenal, das Betrüger benötigen, um eine Person ins Visier zu nehmen.
  • Abonnementdetails: Informationen darüber, welche Publikation sie abonniert haben (The Wall Street Journal, Barron's, MarketWatch usw.), ihre Abonnementtypen und wie viel sie bezahlt haben.
  • Kontoinformationen: Benutzernamen und andere kontobezogene Kennungen. Einer der beunruhigendsten Aspekte ist, obwohl im Bericht nicht spezifiziert, die Möglichkeit, dass Passwörter bei solchen Lecks oft schlecht geschützt sind (z. B. mit einem alten Algorithmus wie MD5 gehasht).
  • Teilweise Finanzdaten: Vielleicht der heikelste Teil. Die durchgesickerten Daten enthielten auch die letzten vier Ziffern der Kreditkarten der Kunden. Obwohl es sich nicht um eine vollständige Kartennummer handelt, kann diese Information in Kombination mit anderen persönlichen Daten zu einer mächtigen Waffe werden. Wenn Betrüger Sie anrufen und sagen: „Herr Schmidt, es gibt ein Problem mit Ihrer Karte, die auf 1234 endet“, macht sie dieses Detail weitaus glaubwürdiger.

Die Kombination dieser Daten stellt weit mehr als nur ein einfaches Datenleck dar. Es ist eine Fundgrube, die genutzt werden könnte, um detaillierte Profile einiger der einflussreichsten Geschäftsleute, Investoren und Politiker der Welt zu erstellen. Informationen darüber, wer welche Finanznachrichten liest, wo er wohnt und welche E-Mail-Adresse er verwendet, können für ausgeklügelte Phishing-Angriffe und sogar Erpressung ausgenutzt werden. Die Offenlegung der Privatadresse und Telefonnummer eines CEOs in Verbindung mit dem Wissen über sein Interesse an bestimmten Finanzanalysen schafft weitaus größere Sicherheitsrisiken, als man sich vorstellen kann.

Wie der Angriff geschah

Die technische Seite ist überraschend einfach. Dow Jones nutzte den S3-Dienst von Amazon zur Datenspeicherung. Man kann sich S3 wie ein gigantisches digitales Lagerhaus im Internet vorstellen. Diese Lager werden „Buckets“ genannt, und jeder Bucket hat Zugriffseinstellungen. Standardmäßig sind diese Buckets privat, was bedeutet, dass nur autorisierte Personen darauf zugreifen können. Ein Benutzer kann diese Einstellung jedoch ändern und einen Bucket „öffentlich“ machen. Genau hier begann die Katastrophe.

Es scheint, dass die Berechtigungen für mindestens einen der S3-Buckets von Dow Jones so eingestellt waren, dass keine Authentifizierung erforderlich war. Das bedeutete, dass jeder, der die URL des Buckets kannte oder sie mit Scan-Tools entdeckte, die darin enthaltenen Dateien durchsuchen und herunterladen konnte. War es menschliches Versagen? Höchstwahrscheinlich. Ein Mitarbeiter könnte die Einstellung für eine temporäre Dateifreigabe geändert und vergessen haben, sie zurückzusetzen. Oder ein automatisiertes Skript war möglicherweise falsch konfiguriert und hat die Sicherheitseinstellungen zurückgesetzt. Was auch immer die Ursache war, das Ergebnis ist dasselbe: Die Daten von Millionen wurden in einem unverschlossenen Tresor zurückgelassen.

Dieser Vorfall unterstreicht einmal mehr das „Shared Responsibility Model“ der Cloud-Sicherheit. Cloud-Anbieter wie Amazon sind für die Sicherheit *der* Cloud verantwortlich – die physische Sicherheit der Server, die Netzwerkinfrastruktur. Der Kunde – in diesem Fall Dow Jones – ist jedoch für die Sicherheit *in* der Cloud verantwortlich. Das bedeutet die korrekte Konfiguration der Sicherheit der Daten und Anwendungen, die sie auf dieser Infrastruktur platzieren. Dow Jones hat es versäumt, die von Amazon bereitgestellten Sicherheitstools korrekt zu verwenden und so den Weg für dieses massive Leck geebnet. Kurzum, es gibt keinen Hacker, dem man die Schuld geben kann. Es gibt nur einen Spiegel.

Wer ist betroffen

Die Opfer dieses Lecks sind die Millionen von Menschen, die für Dow Jones-Publikationen bezahlen und dem Unternehmen ihre Daten anvertrauen. Die Liste ist ziemlich umfangreich:

  • Abonnenten des Wall Street Journal: Leser einer der größten Wirtschafts- und Finanzzeitungen der Welt. Dieses Publikum besteht aus CEOs, Top-Führungskräften, Investoren und Akademikern – allesamt hochwertige Ziele für Identitätsdiebstahl und Phishing-Angriffe.
  • Abonnenten von Barron's: Eine weitere prestigeträchtige Publikation, die sich speziell an Investoren und Marktprofis richtet. Ihre finanziellen Vermögenswerte und ihr Interesse an Marktbewegungen machen sie zu Hauptzielen für Betrüger.
  • Nutzer anderer Dow Jones-Eigentümer: Nutzer beliebter Finanznachrichten-Websites wie MarketWatch oder Unternehmensdienste wie Factiva könnten ebenfalls gefährdet sein. Obwohl der volle Umfang des Lecks noch nicht klar ist, ist es für jeden, der einen Dienst unter dem Dach von Dow Jones abonniert hat, am sichersten anzunehmen, dass er potenziell betroffen ist.

Und es sind nicht nur aktuelle Abonnenten. Aufgrund von Richtlinien zur Datenspeicherung in Unternehmen könnten die Daten von Millionen, die ihre Abonnements in der Vergangenheit gekündigt haben, immer noch auf diesen Servern gespeichert gewesen sein. Selbst wenn Sie Ihr WSJ-Abonnement also vor Jahren beendet haben, könnten Ihre Daten immer noch Teil dieses Lecks sein, was die potenziellen Auswirkungen weiter vergrößert.

Was Sie tun können

Wenn Sie ein Abonnent einer Dow Jones-Publikation sind oder waren, ist jetzt nicht die Zeit für Panik, sondern für kluges Handeln. Hier sind einige nicht-klischeehafte Schritte, die speziell auf diesen Vorfall zugeschnitten sind:

1. Priorisieren Sie Ihre Passwörter: Es ist leicht zu sagen „ändern Sie alle Ihre Passwörter“, aber das ist nicht realistisch. Tun Sie stattdessen Folgendes: Verwenden Sie dasselbe Passwort für Ihre Dow Jones-Konten auch an anderer Stelle, insbesondere für kritische Dienste wie E-Mail oder Banking? Wenn ja, ändern Sie zuerst die Passwörter für diese kritischen Dienste. Angreifer nehmen diese durchgesickerten Passwörter und verwenden automatisierte Tools, um sie auf anderen Plattformen auszuprobieren. Diese Technik nennt sich „Credential Stuffing“ und ist hochwirksam. Ihr Dow Jones-Passwort kann Ihre zweite Priorität sein.

2. Seien Sie paranoid gegenüber Phishing: Seien Sie in den nächsten Monaten besonders wachsam bei Nachrichten, die Sie per Telefon und E-Mail erhalten. Betrüger wissen jetzt, welche Publikation Sie abonniert haben, Ihre Adresse und die letzten vier Ziffern Ihrer Kreditkarte. Sie werden sehr personalisierte und überzeugende gefälschte E-Mails erhalten wie: „Sehr geehrter Herr Müller, wir konnten Ihr Abonnement des Wall Street Journal mit Ihrer Karte, die auf 4567 endet, nicht verlängern. Bitte klicken Sie hier, um Ihre Informationen zu aktualisieren.“ Denken Sie daran: Dow Jones wird Sie niemals in einer E-Mail nach Ihrem Passwort oder Ihrer vollständigen Kreditkartennummer fragen. Wenn Sie eine verdächtige E-Mail erhalten, klicken Sie keine Links darin an. Öffnen Sie stattdessen Ihren Browser und geben Sie manuell wsj.com oder die Adresse der betreffenden Website ein, um sich in Ihr Konto einzuloggen.

3. Überwachen Sie Ihre Kreditkartenabrechnungen und Bankkonten: Obwohl keine vollständigen Kreditkartennummern durchgesickert sind, können diese Informationen mit Daten aus anderen Quellen kombiniert werden, um Betrug zu begehen. Überprüfen Sie in den nächsten Monaten Ihre Kreditkartenabrechnungen Zeile für Zeile. Selbst eine kleine, unbekannte Abbuchung könnte ein Zeichen dafür sein, dass Ihre Kartendaten getestet werden. Kontaktieren Sie sofort Ihre Bank.

Was das Unternehmen sagt

Die erste Reaktion von Dow Jones war erwartungsgemäß in Unternehmenssprache gehalten. Ein Unternehmenssprecher bestätigte, dass sie von UpGuard benachrichtigt wurden und der Zugang zu dem betreffenden Server sofort gesperrt wurde. In der Erklärung hieß es: „Die Sicherheit der Daten unserer Kunden hat für uns höchste Priorität. Wir haben eine Untersuchung eingeleitet, um den Vorfall zu verstehen, und ergreifen Maßnahmen, um betroffene Kunden zu benachrichtigen.“

Das Unternehmen ließ jedoch Schlüsselfragen unbeantwortet, etwa wie lange die Daten exponiert waren oder wer in dieser Zeit möglicherweise darauf zugegriffen hat. Sie versuchten auch, die Situation herunterzuspielen, indem sie erklärten, dass die durchgesickerten Daten keine „vollständigen Kreditkartennummern, Sozialversicherungsnummern oder andere sensible persönliche Identifikationsmerkmale“ enthielten. Obwohl dies technisch korrekt ist, ändert es nichts an der Tatsache, dass die Kombination aus durchgesickerten PII und teilweisen Finanzdaten äußerst gefährlich sein kann. Es wird erwartet, dass das Unternehmen in den kommenden Tagen eine detailliertere Erklärung abgibt und betroffene Nutzer direkt kontaktiert. Vorerst scheint es für die Kunden der beste Weg zu sein, ihre Sicherheit selbst in die Hand zu nehmen.

Quelle

https://www.upguard.com/breaches/cloud-leak-dow-jones

Artikel teilen
X LinkedIn WhatsApp
← Vorheriger Beitrag Datenleck bei Charter könnte fast 5 Millionen betreffen Nächster Beitrag → Sicherheitsfirma APIsec Leakt Eigene Kundendaten

Wöchentlicher Newsletter

Kuratierte Datenpannennews jede Woche in Ihrem Posteingang.