Beim Unternehmen Bluekai, einer Tochter des Datenbank-Konzerns Oracle, ist es offenbar zu einer massiven Datenpanne gekommen. Der Sicherheitsforscher Anurag Sen sei auf einem ungesicherten und nicht durch ein Passwort geschützten Server auf ein Verzeichnis gestoßen, in dem Milliarden von personenbezogenen Datensätzen offen und für jedermann einsehbar waren. Das schreibt unter anderem Heise online. Zunächst berichtete Techcrunch über den Vorfall. Das Portal habe einige der Datensätze überprüft und sei dabei auch auf Webbrowsing-Aktivitäten gestoßen, von Einkäufen bis zur Newsletter-Abbestellung.
Eine der größten Sicherheitslücken des Jahres
Wie der Bericht von Techcrunch mitteilt, habe eine Sprecherin des Mutterkonzerns Oracle bestätigt, dass bestimmte Datensätze möglicherweise im Internet veröffentlicht wurden. Man habe bei Untersuchungen herausgefunden, dass zwei Unternehmen ihre Dienste nicht richtig konfiguriert hätten. Deren Namen allerdings werden nicht genannt. Auch seien weitere Maßnahmen ergriffen worden, um das erneute Auftreten eines solchen Problems zu vermeiden. Inzwischen sei die Sicherheitslücke auch wieder geschlossen.
Wie es bei Techcrunch weiter heißt, sorge allein die Größe der entsprechenden Datenbank dafür, dass es sich um eine der größten Sicherheitslücken dieses Jahres handele.
Detaillierte Daten über Internetnutzer offengelegt
Bluekai, das Tracking-Daten sammelt, gehört seit 2014 zu Oracle und sei damals für über 400 Millionen US-Dollar übernommen worden. Laut Anruag Sen sei nicht absehbar, wie aufschlussreich einige dieser Daten sein könnten. Techcrunch habe aber teils sehr detailierte Datensätze gefunden. So sei in einer Aufzeichnung erkennbar gewesen, dass ein deutscher Mann, dessen Namen das Portal nicht mitteilt, am 19. April mit einer Prepaid-Kreditkarte eine 10-Euro-Wette auf einer E-Sport-Website platziert hätte.
In einem anderen Fall konnte festgestellt werden, wie sich eine Person von einem Newsletter abgemeldet habe. Die Aufzeichnungen hätten gezeigt, dass diese möglicherweise an einer bestimmten Auto-Dashcam interessiert gewesen sei. Auch hätte man feststellen können, dass ihr Smartphone veraltet war und ein Update benötigt hätte. Die Aufzeichnungen seien teils monatelang zurückgegangen, einige Protokolle seien vom August 2019 gewesen. An die Kunden würden zwar keine personenbezogenen Daten weitergegeben werden. Bei den offengelegten hätte es sich allerdings um Rohdaten gehandelt.
DSGVO: Wurden die Behörden informiert?
Ob die Betroffenen selbst oder die US-amerikanischen Aufsichtsbehörden informiert wurden, wollte Oracle Techcrunch folgend nicht mitteilen. Dies betrifft auch die Frage, ob die nach der DSGVO eigentlich notwendige Meldung an europäische Datenschutzbehörden erfolgte. Die Datenschutzgrundverordnung sieht für Verstöße grundsätzlich Bußgelder in Höhe von bis zu 20 Mio. Euro oder vier Prozent des weltweit erzielten Umsatzes vor.
Kommentar schreiben