Untersicherter Amazon S3-Storage Server spuckt FedEx-Kundendaten aus

Amazon Web Services (Bild: Amazon)

Sicherheitsforscher von Kromtech finden unter anderem mehr als 119.000 gescannte Ausweise und Führerscheine. Die Daten stammen von einem 2014 gekauften Unternehmen.

Sicherheitsforscher haben erneut einen ungesicherten Storage-Server auf Amazon S3 entdeckt, der vertrauliche Daten von Kunden eines namhaften Unternehmens enthielt. Verantwortlich für das Datenleck ist diesmal das US-Logistikunternehmen FedEx. Öffentlich zugänglich waren mehr als 119.000 Dateien, darunter gescannte Frachtdokumente und Personalausweise.

Amazon Web Services (Bild: Amazon)Mitarbeiter des Sicherheitsanbieters Kromtech fanden die Daten bereits am 5. Februar. Ihrer Analyse zufolge stammen die meisten Unterlagen aus den Jahren 2009 bis 2012. Die ältesten wurden offenbar 2008 erfasst, die neusten erst im Jahr 2015. Seit wann sie auch öffentlich verfügbar waren, ist nicht bekannt.

Unter anderem befanden sich auf den Servern Führerscheine, Arbeitsausweise, Wahlnachweise, Rechnungen, Lebensläufe, Fahrzeugpapiere, Ausweise von Krankenkassen, Waffenscheine, Sozialversicherungsnachweise und sogar Kreditkarten. Diese Unterlagen wurden als Identitätsnachweis für die Übergabe von Sendungen erfasst. Darüber hinaus waren diverse Frachtdokumente mit Namen, Adressen, Telefonnummern und Unterschriften öffentlich zugänglich.

Ursprünglich gehörten die Dateien dem US-Unternehmen Bongo International, das auf Logistikdienstleistungen für den grenzübergreifenden Online-Handel spezialisiert war. 2014 übernahm FedEx das Unternehmen, um dessen Dienstleistungen ab 2016 unter dem Namen FedEx Cross-Border International anzubieten. Der Dienst wurde schließlich im April 2017 eingestellt.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Alle Bemühungen von Kromtech, ab dem 5. Februar eine Absicherung des Servers zu erreichen, blieben anfänglich erfolglos. FedEx reagierte weder auf E-Mails noch auf Anrufe bei der Hotline des FedEx Cross Border Merchant Customer Support. Daraufhin kontaktierte das Unternehmen nach eigenen Angaben am 13. Februar ZDNet USA, was schließlich dazu führte, dass der Server am nächsten Tag nicht mehr öffentlich zugänglich war.

“Nach einer vorläufigen Untersuchung können wir bestätigen, dass einige archivierte Kontoinformationen von Bongo International auf einem von einem Drittanbieter gehosteten öffentlichen Cloud-Server sicher sind. Die Daten gehören zu einem Service, der nach unserer Akquisition von Bongo eingestellt wurde. Wir haben keine Hinweise auf einen Missbrauch der Daten gefunden und setzen unsere Ermittlungen fort”, teilte ein Sprecher von FedEx mit.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Kromtech-Sprecher Bob Diachenko weist darauf hin, dass wahrscheinlich jeder, der die Dienste von Bongo International in den Jahren 2009 bis 2012 benutzt hat, von dem Datenverlust betroffen ist. “Unklar ist, ob FedEx dieses ‘Erbe’ überhaupt bekannt war, als es Bongo International 2014 kaufte.”

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.