Einfacher Fehler macht hochvertrauliche Bankdaten für Suchmaschinen sichtbar

Ein großer Anbieter von Versicherungen für Anleihen hat einen seiner Server falsch konfiguriert und damit versehentlich eine Vielfalt vertraulicher Daten für Suchmaschinen sichtbar gemacht.

Ein aktueller Bericht des Sicherheitsforschers Brian Krebs unterstreicht einen wichtigen Punkt: Das Risiko von Online-Enthüllungen, vor allem vertraulicher Daten einzelner Personen, steigt. Nicht in alarmierendem Maß, aber dafür kommt das Risiko immer wieder von unerwarteter Seite.

Krebs erklärte diese Woche, dass die Anleihenversicherung Cutwater Asset Management ihre Server falsch konfiguriert hatte, so dass eine Kettenreaktion gestartet wurde, durch die 230 Seiten von Kontoauszügen online verfügbar und für Suchmaschinen sichtbar wurden. Diese Kontoauszüge sollen Konto- und Routing-Nummern, Kontostände, Dividenden und Namen der Kontobesitzer von Investments mehrerer Kommunalverwaltungen enthalten.

Diese Kontoauszüge sollen Konto- und Routing-Nummern, Kontostände, Dividenden und Namen der Kontobesitzer von Investments mehrerer Kommunalverwaltungen enthalten.

Der Anleihenversicherer ist eine Tochterfirma von MBIA Inc., dem wohl größten Anbieter von Anleihenversicherungen in den USA.

Die gute Nachricht ist, dass der Fehler laut MBIA Inc. bereits behoben wurde. Die betroffenen Kunden sollten ebenfalls bereits kontaktiert worden sein.

Die schlechte Nachricht, die Krebs so prägnant beschreibt, ist, dass „die Dokumente, die die Suchmaschinen finden, detaillierte Instruktionen dazu enthalten, wie neue Bankkonten für Einzahlungen angelegt werden können, inklusive Formulare und Faxnummern, die benötigt werden, um die Kontoinformationen zu übertragen.“

Offensichtlich ist dies ein recht kleiner Vorfall, verglichen mit anderen aktuellen Fällen, etwa bei Home Depot, Target, JP Morgan und allen anderen, über die wir in der aktuellen Ausgabe des Talk-Security-Podcasts sprechen. Allerdings ist dieser Fall, der für alle Betroffenen schwerwiegend genug ist, zusätzlich besorgniserregend, da er durch einen einfachen, anscheinend übersehenen Konfigurationsfehler ausgelöst wurde.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.