Bild: © itchaznong - Fotolia.comEin Sicherheitsexperte hat auf einem Amazon-Server Datenbanken des US-Militärs entdeckt, in denen Informationen über Internetnutzer auf der ganzen Welt gesammelt wurden. Brisant ist nicht nur der Inhalt, sondern auch, dass das Material für jeden öffentlich zugänglich war.
1. Online-Kommunikation milliardenfach archiviert
2. Lücke mittlerweile geschlossen
Online-Kommunikation milliardenfach archiviert
Die Dateien wurden beim Cloud-Anbieter Amazon Web Services (AWS) abgelegt und dabei nicht ausreichend gesichert. Hatte man die zugehörigen Server einmal gefunden, konnten die mehrere hundert Gigabyte großen Datenpakete problemlos heruntergeladen und durchsucht werden. Entdeckt wurde das potenzielle Leck vom Sicherheitsforscher Chris Vickery, der bei der Suche nach schlecht geschützten Daten in der Amazon-Cloud auf die Informationen stieß.
Read it: https://t.co/WWKhoZhMid#pentagon #surveillance #databreach
— Chris Vickery (@VickerySec) 17. November 2017
Ein von Vickery heruntergeladenes Datenpaket enthält seiner Analyse nach 1,8 Milliarden Internetbeiträge, die von ihren Urhebern in sozialen Netzwerken wie Facebook, Foren oder Kommentarspalten von Zeitungen hinterlassen wurden. Vickery zufolge dokumentierte das US-Militär darin die Äußerungen von Menschen aus dem Nahen Osten, aber auch anderen Regionen der Welt. Selbst US-Bürger sind in der Sammlung vertreten.
Diese soll offenbar der Terror-Abwehr dienen, listet aber auch harmlose Aussagen ohne Sicherheitsrelevanz, was die Frage der Legalität der Sammlung aufwirft. An Brisanz gewinnt die Entdeckung darüber hinaus, weil sie Hinweise auf ein US-Programm liefert, mit dem die öffentliche Meinung im Nahen Osten beeinflusst werden soll – ganz ähnlich der Kampagnenstrategie, die die US-Regierung Russland vorwirft.
Lücke mittlerweile geschlossen
Dass die Datenbanken frei zugänglich waren, soll auf einen Fehler eines für das Verteidigungsministerium tätigen Unternehmens zurückgehen. Die Firma hatte es offenbar versäumt, die Informationen mit den richtigen Servereinstellungen zu schützen. Nachdem Vickery die Behörde auf das potenzielle Sicherheitsleck hingewiesen hatte, wurde dieses geschlossen. Bis mindestens Ende September war es für Dritte allerdings kein Problem, die Daten zu durchforsten. Alles, was dazu benötigt wurde, waren technische Grundkenntnisse und ein kostenloser AWS-Account.