Der Schweizer Android-Entwickler Till Kottmann hat eine Reihe von Datenschutzverletzungen aufgedeckt, die unbeabsichtigt den Zugriff auf den Quellcode durch seine eigene Untersuchung falsch konfigurierter DevOps-Tools – einschließlich des SonarQube-Servers – und mehrerer anderer Quellen offenbaren. Die Sicherheitslücken betrafen rund 50 Unternehmen aus einer Vielzahl von Branchen wie Finanzen, Technologie, Einzelhandel, Fertigung und E-Commerce. Laut Forschern von Bank Security sind die Datenschutzverletzungen nicht nur bei einigen Banken und Anbietern von Identitäts- und Zugriffsmanagement zu finden, sondern auch bei bekannten Unternehmen wie Microsoft, Lenovo, Nintendo, AMD, Motorola, Disney und der Huawei-Tochter Hisilicon.
Datenlecks erkennen, Datenlecks schließen
Kottmann hat den durchgesickerten Code von etwa 50 Unternehmen, die natürlich als „vertraulich und urheberrechtlich geschützt“ eingestuft werden können, in einem öffentlich zugänglichen GitLab-Repository gesammelt. Es ist noch unklar, zu welchen Teilen der offengelegte Code der betroffenen Unternehmen gehört. Manchmal enthält der Code auch fest codierte Zugriffsdaten – die beteiligten Unternehmen wurden nicht immer vorher kontaktiert, wie der Schweizer auf Anfrage im Online-Portal Bleeping Computer zugab, aber er bemüht sich, „die negativen Auswirkungen der Veröffentlichung zu minimieren“.
Anscheinend bietet Kottmann betroffenen Unternehmen einen Service an, um die Lecks abzudichten. Bisher haben jedoch nicht alle Personen, mit denen er Kontakt aufgenommen hat, beschlossen, die Lecks zu schließen. Darüber hinaus haben einige Entwickler, die hinter den im GitLab-Repository von Kottmann veröffentlichten Quellcodes stehen, jetzt Anfragen zu Datenschutzverletzungen gestellt.
Einer der häufigsten Gründe für Datenschutzverletzungen ist laut Kottmann eine schlecht oder sogar falsch konfigurierte Infrastruktur. Insbesondere DevOps-Tools wie die Open-Source-Plattform SonarQube, deren automatisierte Debugging- und statische Code-Analysedienste von vielen Entwicklern zur Identifizierung von Schwachstellen verwendet werden, können selbst die Ursache für einen Datenverstoß sein. Wenn die Installation nicht sicher konfiguriert ist, kann sie auch ihren eigenen Code zugänglich machen, erklärt Kottmann.
Der Entwickler berichtet auf seiner Website, auf einem Telegrammkanal und auf Twitter unter seinem Pseudonym deletescape regelmäßig über Lecks. Unter anderem erklärte er bei Nintendo ein großes Leck namens Gigaleak, das den Quellcode und die Entwicklungsressourcen einiger klassischer Spiele eröffnete.
(Teufel)
Freiberuflicher Alkoholiker. Begeisterter Webfanatiker. Subtil charmanter Zombie-Junkie. Ergebener Leser.
You may also like
-
Graz in Österreich testet intelligente Verkehrssensoren von LMT / Artikel
-
Bosnien sucht österreichische Unterstützung für Frontex-Statusabkommen – EURACTIV.com
-
Die österreichische Zentralbank senkt die BIP-Wachstumsprognose für 2016 und 2017
-
Österreich verabschiedet Resolution, die Holodomor in der Ukraine als „entsetzliches Verbrechen“ bezeichnet; Russland reagiert
-
Die österreichische Zentralbank prognostiziert für 2023 eine leichte Rezession und dann ein Wachstum von 0,6 %