Ups: Conrad schenkt Hackern Kontonummern von Kunden
Alexander Trust, den 20. November 2019
Elasticsearch-Datenbank von Conrad Electronic gehackt.
Mit Kundendaten sollte man pfleglich umgehen. Beim Elektronikhändler aus Hirschau wurde aber genau diese Prämisse nun verletzt. Eine Panne führte dazu, dass Hacker Zugang zu Kundendaten erhielten, darunter auch Kontonummern.Hat Conrad Datenbank nicht gesichert?
In Zeiten von Web-Apps, die mit sogenannten „One-Click“-Lösungen und Containern in der Cloud erstellt werden können, hat die Zahl von grob fahrlässigem Handeln durch manche Administratoren und IT-Experten zugenommen. Hersteller von Kinderspielzeug, Film- und Musikfirmen, große Medienkonzerne wie Sony, Nachrichtenseiten – die Zahl der Unternehmen, die schon Erfahrung mit Hackern gemacht haben, ist groß und wird mit der Zeit natürlich nur noch größer.
Konsternierend wird es nur, wenn schon wenig Aufmerksamkeit ausreicht, um den Missbrauch zu verhindern. Eigentlich sollten IT-Mitarbeiter und -Administratoren beinahe umgehend nach der Einrichtung Sorge tragen, die Standard-Einstellungen von Servern, APIs, Datenbanken, Scripten und anderem mehr zu verändern. Denn ansonsten kommt es mitunter zu einem bösen Erwachen.
Conrad informiert Datenschutzbeauftragen von Bayern
Das Unternehmen ist sich seiner Verantwortung bewusst, und informierte nach dem Vorfall immerhin bereits dem bayerischen Datenschutzbeauftragten. Auch wurde das LKA Bayern über eine Strafanzeige in Kenntnis gesetzt.
In einer Pressemitteilung informierte der Elektronikhändler über die „Datenpanne“, wie der Vorfall geschönt bezeichnet wird. Es ist wohl eher eine große Sauerei, dass „knapp 14 Millionen Kunden-Datensätze“ für Angreifer zugänglich waren. In weiteren Phrasen wird gebetsmühlenartig wiederholt, was man uns auch anderswo immer wieder weismacht: Es gibt zwar Hinweise darauf, dass sich tatsächlich jemand Zugang zum System verschafft hat. Aber weder die IT-„Experten“ Conrads noch die Behörden-„Spezialisten“ sahen einen Missbrauch der Kundendaten erkennbar.
Kind in den Brunnen gefallen
Die spezielle Elasticsearch-Datenbank, in der die Daten vorlagen, wurde womöglich nicht ordentlich gesichert. Das ist zumindest unser „voreiliger“ Schluss. Es gibt für solche Systeme Software, um Lücken aufzuspüren. Falsch konfigurierte Datenbanken sind mit solchen Tools selbst dann aufzuspüren, wenn sie gar nicht für den Zugriff über das Web gedacht sind. In der Regel genügt eine vom Standard abweichende Einstellung, um Angriffe von außen zu verhindern oder zumindest deutlich zu erschweren.
Conrad entschuldigt sich natürlich. Doch ist das Kind nun in den Brunnen gefallen. Es grenzt ein wenig an Hohn, die Nutzer darauf hinzuweisen, dass man auf Anhänge in E-Mails von unbekannten Absendern nicht einfach so klicken sollte.
