Einblicke in die Daten von 41.000 Befragten

Nachdem wir bereits des öfteren hier über Datekgaus berichtet haben, haben wir nun die absolute Spitze des Eisberges entdeckt: Die Privatleben von 41.000 Menschen offen im Netz!

Der CCC erhielt nur einen unmarkierten, braunen Umschlag. In diesem Umschlag befand sich eine URL https://www.report-global.com/mimitacon/ mit einer Kundennummer und einem entsprechenden Passwort. Eingeloggt in diesem Account fanden Sie Adressen, E-Mail Adressen, Bankverbindungen, Einkommen, Beruf, Ausbildung, Wohnsituation, Mobilfunkverträge, Krankenversicherungen und Wertgegenstände der eingeloggten Person. Das ganze stand unter dem Firmenlogo des Marktforschungsinstitutes „TNS“.

Die „Hacker“ staunten nicht schlecht, als ihr Augenmerk dann auf die URL viel. Sie baute sich wie folgt auf:
Umfrage
https://www.report-global.com/mimitacon/(kkpadc20lxlev5qcbvgvq3u4)/pages/business/masterdata.aspx?fromWhere=base&id=11XXXX
und die „XXXX“ stehen hier für eine Kundennummer. Ersetzte man die Nummer nun durch eine andere, Willkürliche Nummer, erfuhr man im Nu alles über den dazugehörigen Kunden. Nach einigen Versuchen wurde den Mitgliedern des CCC klar, dass der Kundennummerbereich von 100001 bis 141003 ging und damit das Privatleben von 41.002 Personen ganz offen im Netz zugängig war.

TNS Infratest ist eines der führenden Marktforschungsunternehmen der Welt und ist in 70 Ländern vertreten. Es ist also durchaus möglich, dass auch andere Länder von diesem Datengau betroffen sind.
Auch die Domain „http://report-global.com gehört zu diesem Unternehmen

Domain name: report-global.com
Registrant:
TNS Infratest GmbH (TNSINFRA376)
Landsberger Str. 338
Muenchen, 80687
DE

Nach einigen Nachforschungen fanden die Hacker heraus, dass die Umfrage, bekannt unter dem Namen „Mystery Shopping“ rund 100 Befragte hatte. Mysteriös ist hier also, woher die 41.002 Datensätze kamen.

An diesen offen liegenden Daten hätten viele Personengruppen interesse. Stalker, Diebe, die Tratschtante von nebenan und Unternehmen würden für diese Daten sicherlich ein stattliches Sümmchen auf den Tisch legen um an solche Informationen zu kommen.

Wie detailiert ein solches Datenblatt ist, zeigt der folgende Ausschnitt eines Screenshots der Seite:

Die Siete wurde vermutlich als Gegenmaßnahme nun komplett aus dem Internet genommen und ist derzeit nicht erreichbar. Es ist allerdings erstaunlich, dass man bei einem solchen, modernen Großunternehmen so einfach an die sensiblen Daten kommen kann, wo heut zu Tage jedes Forum, Wiki oder Kreditinstitut die Nutzerkonten mit starken Verschlüsselungsmechanismen versieht. Vermutlich lauern noch mehr dieser Datenfallen unentdeckt im Internet, es hat Sie nur noch niemand gefunden. Doch das ist nur eine Frage der Zeit!

Advertisements

~ von v3rtico - Juli 4, 2008.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

 
%d Bloggern gefällt das: