Es fühlt sich an, als würde jeden zweiten Tag ein anderes Tech-Startup dabei erwischt, wie es aufgrund eines Sicherheitsmangels Unmengen von Daten über das Internet verschüttet. Aber selbst bei Technologiegiganten wie Amazon ist es leicht, Fehler zu machen.
Sicherheitsforscher Anurag Sen fand eine Datenbank voller Sehgewohnheiten von Amazon Prime, die auf einem internen Amazon-Server gespeichert waren, auf den über das Internet zugegriffen werden konnte. Da die Datenbank jedoch nicht mit einem Passwort geschützt war, konnte auf die darin enthaltenen Daten von jedem mit einem Webbrowser zugegriffen werden, indem nur seine IP-Adresse bekannt war.
Die Elasticsearch-Datenbank mit dem Namen „Sauron“ (make of that what you will) enthielt etwa 215 Millionen Einträge mit pseudonymisierten Betrachtungsdaten, wie den Namen der Sendung oder des Films, der gestreamt wird, auf welchem Gerät er gestreamt wurde, und andere interne Daten wie die Netzqualität und Details zu ihrem Abonnement, z. B. ob sie Amazon Prime-Kunde sind.
Laut Shodan, einer Suchmaschine für mit dem Internet verbundene Dinge, wurde die Datenbank erstmals am 30. September als dem Internet ausgesetzt erkannt.
Obwohl es beunruhigend ist, dass ein Unternehmen von der Größe und dem Reichtum von Amazon wochenlang einen so riesigen Datenspeicher im Internet hinterlassen kann, ohne dass es jemand bemerkt, können die Daten basierend auf unserer Überprüfung nicht verwendet werden, um Kunden namentlich persönlich zu identifizieren. Aber der Fehler hebt ein häufiges Problem hervor, das vielen Datenrisiken zugrunde liegt – falsch konfigurierte, mit dem Internet verbundene Server, die ohne Passwort online bleiben, auf das jeder zugreifen kann.
Sen stellte Details der Datenbank zur Verfügung, um die Daten zu sichern, und Tech gab die Informationen aus Vorsicht an Amazon weiter. Kurze Zeit später war die Datenbank nicht mehr erreichbar.
„Bei einem Prime Video-Analyseserver ist ein Bereitstellungsfehler aufgetreten. Dieses Problem wurde behoben und es wurden keine Kontoinformationen (einschließlich Anmelde- oder Zahlungsdetails) offengelegt. Dies war kein AWS-Problem; AWS ist standardmäßig sicher und wird wie vorgesehen ausgeführt“, sagte Amazon-Sprecher Adam Montgomery.