58 % der Unternehmen erkennen Meldungen von Datenschutzverletzungen nicht an
Comparitech-Forscher durchsuchen das Internet regelmäßig nach offengelegten Datenbanken. Wenn wir solche Gefährdungen entdecken, ist es unser Ziel, die Vorfälle den verantwortlichen Parteien mitzuteilen, damit diese die notwendigen Maßnahmen ergreifen können, um die durchgesickerten Daten zu sichern. Letztendlich wollen wir die Auswirkungen für Endbenutzer, deren Informationen durchgesickert sind, minimieren.
Nachdem wir die Reaktionszeiten auf Warnungen verfolgt hatten, stellten wir fest, dass mehr als die Hälfte der Unternehmen keine Antwort auf Benachrichtigungen über die Offenlegung von Daten senden. Laut Comparitech-Forschern kam es bei 502 untersuchten Datenvorfällen zuNur 210 Organisationen haben auf unsere Warnungen geantwortet. Die meisten von ihnen brauchten einen Tag, um zu antworten, andere warteten jedoch bis zu 17 Tage, bevor sie antworteten.
Die untersuchten Risiken resultierten aus ungesicherten Datenbanken, die der Öffentlichkeit zugänglich gemacht wurden. Anfällige Datenbanken können Unbefugten den Zugriff auf Daten ermöglichen, was zu Datenschutzverletzungen führen kann, die die Privatsphäre und Sicherheit derjenigen gefährden, deren Informationen darin gespeichert sind.
Zu den Details, die in einigen der von uns entdeckten Datenbanken gespeichert sind, gehören Kontoanmeldeinformationen (Benutzernamen und Passwörter), persönliche Informationen wie Name, Geburtsdatum, Adresse, Telefonnummer und Sozialversicherungsnummer (SSN), medizinische Informationen, Bankdaten, und mehr.
Studie zum Stand der Offenlegung von Datenschutzverletzungen
Sobald ein Leck entdeckt wird, ergreifen wir Maßnahmen, um den Eigentümer der Datenbank zu identifizieren und ihn auf die Gefährdung aufmerksam zu machen. Wo möglich, untersuchen wir auch den Inhalt geleakter Datenbanken und stellen fest, welche Details offengelegt wurden und auf wen sich die Informationen beziehen. Im Idealfall reagieren die Datenbankeigentümer schnell auf unsere Warnungen, indem sie den öffentlichen Zugriff auf die Informationen sperren und alle betroffenen Parteien benachrichtigen.
In einigen Fällen ist die Reaktionszeit sehr schnell. Wir erhalten häufig eine Empfangsbestätigung, in der wir uns für die Offenlegung und die Zusicherung bedanken, dass die Datenbank sicher ist (was wir dann überprüfen). In vielen Fällen erhalten wir jedoch eine verspätete oder gar keine Antwort.
Um den Stand der Offenlegung von Datenschutzverletzungen zu untersuchen, haben wir die Reaktionszeiten auf Warnungen in den letzten 12 Monaten verfolgt.23 Prozent (115) der Organisationen haben unsere Warnungen innerhalb von 24 Stunden bestätigt.12 Prozent (58) brauchten zwei Tage, um zu antworten, und zwei Prozent (10) schickten innerhalb von drei Tagen eine Bestätigung. Weitere fünf Prozent (27) brauchten zwischen vier und 17 Tagen, um auf die Offenlegung zu antworten. 58 Prozent (292) haben unsere Warnung überhaupt nicht zur Kenntnis genommen.
In Fällen, in denen keine Bestätigung einging, haben wir die Nachverfolgung fortgesetzt. Wir haben festgestellt, dass alle Datenbanken letztendlich durch einen Bot-Angriff gesichert oder zerstört wurden (mehr dazu weiter unten). Die Gründe für die fehlende Anerkennung sind nicht klar, aber in manchen Fällen versuchen Unternehmen möglicherweise, das Eingeständnis eines Verstoßes zu vermeiden, um den Vorfall „zum Schweigen zu bringen“. In anderen Fällen, insbesondere in einigen Fällen, in denen wir Bot-Angriffe beobachteten, wurden unsere Warnungen offenbar ignoriert.
Die überwiegende Mehrheit der von uns entdeckten exponierten Datenbanken waren Elasticsearch- (182) und MongoDB-Datenbanken (229).Dies sind die beiden beliebtesten Datenbanktypen für die Verwaltung von NoSQL-Daten. Daher ist es nicht verwunderlich, dass sie in unserem Datensatz eine wichtige Rolle spielen. Obwohl diese Optionen solide Sicherheitsfunktionen bieten, können Fehlkonfigurationen dazu führen, dass sie unbeabsichtigt offengelegt werden. Weitere recht häufige Anwendungstypen, die wir in unserer Forschung entdeckt haben, waren Kafka (13), Jenkins (11), Zeppelin (13) und Zookeeper (12).
Warum schnelles Handeln bei Datenlecks wichtig ist
Sind ein oder zwei Tage wirklich wichtig? Ja.
Laut unserer Forschung ist die Reaktionszeit entscheidend. In einer früheren Studie Wir haben einen Honeypot eingerichtet bestehend aus einer exponierten Elasticsearch-Datenbanksimulation. Die geleakten Daten wurden von Angreifern innerhalb von acht Stunden abgerufen.
Wir haben es etwa 10 Tage lang freigelegt gelassen, undIn diesem Zeitraum wurde es 175 Mal angegriffen, durchschnittlich 18 Mal pro Tag. Kurz gesagt: Eine schnelle Reaktionszeit kann das Risiko der Offenlegung sensibler Daten drastisch reduzieren.
Bedenken Sie, dass die Reaktionszeit keinen Aufschluss darüber gibt, wie lange die Daten bereits offengelegt waren, da sie bereits vor ihrer Entdeckung durch unsere Forscher offen zugänglich gewesen sein könnten. Die Ergebnisse unseres Honeypot-Experiments deuten darauf hin, dass Angreifer aktiv nach diesen Gefährdungen suchen.
Eine Möglichkeit für Angreifer, exponierte Datenbanken zu finden, besteht darin, Internet-of-Things (IoT)-Suchmaschinen wie Shodan und Binary Edge zu überwachen. Tatsächlich haben wir herausgefunden, dass der Tag, an dem die meisten Angriffe stattfanden, derselbe war, an dem unser Honeypot auf Shodan indiziert wurde. In dieser Studie wurde jedochAuf die Daten wurde Dutzende Male zugegriffen, bevor die Datenbank in einer dieser Suchmaschinen angezeigt wurde. Dies bedeutet, dass Angreifer proaktiv vorgehen und ihre eigenen Scan-Tools verwenden, um anfällige Datenbanken zu finden, und sich nicht nur auf IoT-Suchmaschinen verlassen.
Sobald böswillige Akteure Zugriff auf offengelegte Daten haben, können sie diese für verschiedene schändliche Zwecke verwenden. Einige werden die Informationen direkt für Cyberkriminalität verwenden, z Phishing-Angriffe , Betrug, Identitätsdiebstahl, Erpressung und mehr. Andere veröffentlichen Informationen zum Verkauf auf Untergrundmarktplätzen, wie sie beispielsweise im Darknet zu finden sind. Zum Beispiel Kreditkartendaten kann 5–35 $ pro Set einbringen im Dark Web und „Fullz“-Daten (darunter Name, Geburtsdatum, Adresse, Telefonnummer, SSN und mehr) können einem Kriminellen 14–60 US-Dollar pro Satz einbringen.

Abgesehen vom Datendiebstahl sind Datenbanken auch anderen Arten von Angriffen ausgesetzt. Beispielsweise wurde unsere Datenbank in unserem Honeypot-Experiment von einem bösartigen Bot angegriffen, der die Datenbankinhalte löschte und eine Lösegeldzahlung forderte. Weitere vom Team beobachtete Angriffe betrafen Kryptojacking, Anmeldedatendiebstahl und Konfigurationsänderungen. Ein weiteres Honeypot-Experiment Die von Comparitech-Forschern durchgeführte Studie veranschaulicht außerdem die Arten böswilliger Anfragen, die an ungesicherte Server gesendet werden.
Gesetze zur öffentlichen Offenlegung von Datenschutzverletzungen
Es kann alarmierend sein zu sehen, dass allein unsere Forscher in den letzten 12 Monaten Hunderte von Datenschutzverletzungen entdeckt haben. Und Sie fragen sich vielleicht, an wie vielen dieser Lecks Ihre eigenen Daten beteiligt waren. Das bringt uns zur öffentlichen Offenlegung von Verstößen. In vielen Fällen erstellen wir einen öffentlichen Bericht mit detaillierten Angaben zu einem von uns entdeckten Leck, um die Betroffenen zu warnen.Doch welche Verantwortung trägt die betroffene Organisation bei der Offenlegung?
Hier werfen wir einen Blick auf einige der geltenden Gesetze, die darauf abzielen, Unternehmen für die öffentliche Offenlegung von Verstößen und die Warnung von Endbenutzern zur Verantwortung zu ziehen. Beachten Sie, dass dies keine Rechtsberatung darstellt und wir Sie dazu ermutigen, zusätzliche Informationen aus offiziellen Quellen einzuholen.
UNS
In den USA jeder Bundesstaat hat seine eigenen Gesetze bezüglich der Offenlegung von Datenschutzverletzungen. Im Allgemeinen folgen die meisten dem Beispiel Kaliforniens, das als erster Staat ein solches Gesetz erlassen hat. Nach diesem und ähnlichen GesetzenUnternehmen sind in der Regel verpflichtet, den betroffenen Parteien eine Datenschutzverletzung schriftlich mitzuteilen, unmittelbar nachdem der Verstoß entdeckt wurde.
Verstöße müssen auch dem Generalstaatsanwalt gemeldet werden, die Kriterien für die Meldung variieren jedoch. In der Regel müssen Verstöße ab einem bestimmten Ausmaß (z. B. wenn mehr als 500 oder 1.000 Personen betroffen sind) gemeldet werden. Je nach Bundesland müssen Verstöße nur dann gemeldet werden, wenn die Wahrscheinlichkeit besteht, dass eine unbefugte Person auf die Informationen zugegriffen hat und der Verstoß voraussichtlich einen erheblichen Schaden verursacht.
EU
Gemäß der Datenschutz-Grundverordnung (DSGVO) sind im Allgemeinen Datenschutzverletzungen vorgesehen Persönliche Angaben Der Verdacht muss innerhalb von 72 Stunden nach der Entdeckung der zuständigen Behörde gemeldet werden. Wie von der dargelegt Britisches Information Commissioner’s Office (ICO) : „Wenn der Verstoß voraussichtlich ein hohes Risiko einer Beeinträchtigung der Rechte und Freiheiten des Einzelnen mit sich bringt, müssen Sie diese Personen außerdem unverzüglich informieren.“
Kanada
Gemäß dem Personal Information Protection and Electronic Documents Act (PIPEDA) müssen Verstöße vorliegen dem kanadischen Datenschutzbeauftragten gemeldet wenn eine Einschätzung der betroffenen Organisation ergibt, dass der Verstoß ein tatsächliches Risiko erheblichen Schadens (RROSH) für eine Person mit sich bringt.Von dem Verstoß betroffene Personen müssen direkt benachrichtigt werden(außer in bestimmten Fällen, in denen Eine indirekte Benachrichtigung ist zulässig ) so bald wie möglich nach Entdeckung des Verstoßes.
Australien
Unternehmen in Australien unterliegen dem System für meldepflichtige Datenschutzverletzungen. Organisationen und Agenturen haben „30 Tage Zeit, um zu beurteilen, ob eine Datenschutzverletzung wahrscheinlich zu ernsthaften Schäden führen wird.“ Im Falle einer schwerwiegenden DatenschutzverletzungDie betroffene Organisation muss dies dem australischen Informationskommissar meldenund alarmieren Sie betroffene Personen per E-Mail, Telefonanruf oder SMS.