<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2038511469714819&amp;ev=PageView&amp;noscript=1">

Instagram und Google speichern Anmeldedaten ungeschützt

29. Mai 2019

Gleiche Datenpanne, andere Plattform. Dieses Mal hat es Instagram und die Google G Suite erwischt. In beiden Fällen waren ungeschützte Daten in der Cloud gespeichert, auf die Dritte leicht Zugriff hatten oder hätten haben können. Bleibt mal wieder die Frage: Wie können Unternehmen immer noch so erschreckend nachlässig mit den Daten der Nutzer umgehen? Und viel wichtiger: Was muss noch alles passieren, damit sich der Umgang mit den sensiblen Daten endlich ändert? 

 

instagram_800x800

Im Falle des Instagram-Datenlecks waren anscheinend in einer Datenbank einer Marketingfirma aus Indien 49 Millionen Einträge über bekannte Instagram-Influencer gespeichert. Die Datei war ungeschützt auf einem AWS (Amazon Web Services) Server abgelegt und somit öffentlich zugänglich. Aufgeflogen war diese Fahrlässigkeit erst durch einen Sicherheitsforscher.

Öffentlich einsehbar waren neben den E-Mail-Adressen, Profilbildern, Profilbeschreibungen auch Telefonnummern und sogar Standorte einiger Nutzer. Betroffen sind vor allem Food-Blogger, Prominente und andere Influencer. Aber auch die Daten von Nutzern, die gar nicht mit dem indischen Unternehmen zusammengearbeitet haben, befanden sich auf der Liste. Eine Stellungnahme dazu bleibt die Firma bisher schuldig. Nachdem das Datenleck aufgeflogen war, hat das Unternehmen die Server abgeschaltet. Eine Prüfung, wer tatsächlich alles betroffen ist, bleibt also erst einmal unmöglich.

Bei Google waren zwischen Januar bis Mai 2019 Passwörter im Klartext in der G-Suite-Cloud gespeichert. Betroffen waren laut Google ausschließlich Geschäftskunden und keine privaten Google-Konten. Der Fehler trat in den Admin-Tools von G Suite zum Zurücksetzen von Kennwörtern auf. Seit 2005 werden scheinbar Kopien von ungehashten Passwörtern gespeichert. Diese Funktion kam im Januar angeblich versehentlich zum Einsatz. Laut Google lagen die ungeschützten Passwörter aber immerhin in einer verschlüsselten Umgebung. Wollen wir hoffen, dass das so stimmt und nicht demnächst die Google G-Suite-Passwörter irgendwo im Netz auftauchen.

Immer noch ignorieren die Unternehmensmanager und die firmeneigenen Datenschützer viel zu oft, dass der Schutz von personenbezogenen Daten nicht delegiert werden kann. Das Top Management ist und bleibt laut Europäischer Datenschutzgrundverordnung (EU-DSGVO) dafür verantwortlich. Und haftet persönlich mit dem Privatvermögen. Es wird also Zeit für die europäischen Datenschutzbehörden, die Zügel anzuziehen. 

 

Share Button: LinkedIn Share Button: XING Share Button: Twitter Share Button: Facebook