200.000 Kundendaten der Deutschen Post abrufbar

Beim Umzugs-Portal umziehen.de der Deutschen Post waren über unbekannte Zeit die Daten aller aktuellen Kunden problemlos und für jedermann abrufbar.

Entgegen einiger Berichte über den aktuelle Fall (besonders im Radio) benötigte man keineswegs tieferes IT-Knowhow um die Daten abzurufen. Und auch einen direkten Einblick in das Datenpaket würden die meisten mit ein klein wenig Hilfe der nächsten Suchmaschine (wenn das überhaupt notwendig ist) innerhalb kurzer Zeit erhalten.

MySQL – dump erstellen

Offensichtlich verwendet umziehen.de wie viele andere Webseiten auch als DBMS (Datenbank-Management) die verbreitete MySQL. In der allgemeinen Dokumentation der Datenbank, und auch auf sehr vielen HowTo-Seiten, wird als Beispiel für eine komplette Kopie der Datenbank die Zieldatei dump.sql angegeben.

http://<webseite>/dump.sql

Durch ein einfaches Ausprobieren dieses Dateinamens war es einem Mitarbeiter der Zeit problemlos möglich, die zuletzt erstellte Datenbank-Kopie vom Server herunterzuladen – ohne Logindaten, ohne Kennwort. Da im dump auch die verwendete MySQL-Versionsnummer aufgeführt ist, ist es damit ein (sehr) leichtes diesen dump in eine lokale MySQL wieder einzuspielen – und somit Zugriff auf alle Kundendaten von umziehen.de zu erhalten.

Nach Recherchen von der Zeit wurden noch viele weitere Webseiten gefunden, die offensichtlich diesen Standard-Namen beim exportieren der Datenbank-Daten verwenden – und die offensichtlich so wenig von IT-Sicherheit verstehen, dass auch diese den dump für die ganze Welt erreichbar einfach im Webservice-Hauptverzeichnis ablegen.

Im Prinzip ist ein solcher Umgang mit Kundendaten grob fahrlässig und sollte zu einer umgehenden Kündigung führen.