Cloud-Datenbank: Ungeschützte Datensätze bei AWS - Amazon Web Services & Facebook Parse

von Hauptmann, Alexander veröffentlicht

Cloud-Datenbank: Ungeschützte Datensätze bei AWS - Amazon Web Services & Facebook Parse

© Amazon / Facebook

Cloud-Datenbank: Ungeschützte Datensätze bei AWS - Amazon Web Services & Facebook Parse

Cloud-Speicher: Ungeschützte Datensätze bei Facebook Parse und AWS - Amazon Web Services. Cloud-Datenbank mit mehr als 56 Millionen Datensätzen.

AWS - Amazon Web Services und Facebook Parse mit ungeschützten Datensätzen in der Cloud-Datenbank

Mehr als 56 Millionen nicht geschützter Datensätze in einer Cloud-Datenbank wurden von Usern gefunden. App Entwickelter haben eine bedenkliche Fahrlässigkeit begangen. Im Cloud-Speicher von Facebook Parse und AWS - Amazon Web Services wurden mehrere Millionen schlecht gesicherter Datensätze gefunden, wie Wissenschaftlern nun herausfinden konnten. In diesen Datensätzen sind nicht nur Nutzerprofile angelegt sondern auch Gesundheitsdaten gespeichert.

Speicherung in der Cloud-Datenbank

Zu der Speicherung von Nutzerdaten verwenden die Entwickler von Apps kein eigenes Speichermedium und greifen dazu auf Dienste wie Facebook Parse oder AWS - Amazon Web Services und einer Cloud-Datenbank zurück. Im Grunde kann man gegen einen Cloud-Speicher nichts einwenden. Was allerdings nicht zu vertreten ist, dass viele dieser Daten Vollkommen unzureichend in dem Cloud-Speicher liegen und von Hackern ganz einfach abgegriffen werden können. Es macht den Anschein, dass der Schutz von persönlichen Daten der App User für die Entwickler keine große Priorität darstellt. Das Fraunhofer Institut und die Technische Universität Darmstadt haben die Cloud-Datenbank untersuchen können und ungefähr 56 Millionen ungeschützte Datensätze gefunden die nicht oder nur unzureichend geschützt waren. Die Forscher konnten Passwörter, die Mailadressen, Gesundheitsdaten und weitere sensible Informationen der App-Benutzer in der Cloud-Datenbank finden, die man hätte leicht manipulieren oder stehlen können.

Bedrohung vieler Nutzerdaten durch ungeschützte Datensätze im Cloud-Speicher

Viele dieser Nutzerkonten sind dadurch vor Identitätsdiebstahl und weiteren Internetverbrechen nicht geschützt. In einem Cloud-Speicher werden eine Menge Nutzerinformationen von Smartphone Apps gespeichert. Diese werden zum Beispiel dazu genutzt, damit die Synchronisation zwischen iOS und Android-Apps einfacher wird. Hierfür bieten die Cloud-Betreiber, je nach dem wie sensible die Daten sind, unterschiedliche Authentifizierungsmethoden an. Die einfachste Form für eine Authentifizierung verwendet ein ganz einfaches API-Token. Dieses wird t dazu genutzt, um Daten zu identifizieren und ist eine im App-Code eingebettete Nummer. Angreifer können mit aktuellen Werkzeugen diese Token allerdings ganz einfach extrahieren und dann dazu nutzen, die Daten zu manipulieren oder zu lesen.

Ungeschützte Datensätze auf dem Schwarzmarkt

Wurden die Daten dann einmal gestohlen, ist es den Hackern möglich, die Adressen auf dem Schwarzmarkt zu verkaufen, Webseiten zu ändern, Nutzer zu erpressen, Schadecode auf die Webseite zu setzen oder auch ein Botnetz damit aufzubauen. Damit auch die privaten Daten richtig geschützt werden, müssen alle Apps der AWS - Amazon Web Services und Facebook Parse ein Zugangskontrollschema implementieren. Allerdings konnten die umfangreichen Tests zeigen, dass die meisten der Apps eine solche Zugangskontrolle nicht verwenden. Hierzu untersuchten die Wissenschaftler 750.000 Apps aus dem Apple App Store und dem Google Store. Hier kamen dann intern entwickelte Analyse-Frameworks zum Einsatz, wie beispielsweise der Fraunhofer Appicaptor. Mit diesen Entwicklungswerkzeugen konnten die Forscher nun die Apps identifizieren, die über eine schwache Authentifizierung verfügen und dann eine Tiefenanalyse der Apps durchführen. Bei dieser Untersuchung stellte sich dan heraus, dass eine große Anzahl der Datenfelder nicht nur private Informationen erhielten (E-Mail Adressen, Benutzernamen), sondern auch Informationen über Krankheiten.

Information der Cloud-Anbieter

Umgehend wurden die Cloud-Anbieter von den Wissenschaftlern informiert über ungeschützte Datensätze. Auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden die Schwachstellen mitgeteilt. Zu guter letzt wurden dann die Entwickler der Apps der AWS - Amazon Web Services und der Facebook Parse darüber in Kenntnis gesetzt, dass die Daten auf der Cloud-Datenbank nicht ausreichend geschützt sind.

Das könnte Sie auch interessieren