Ungesicherte Datenbank legt Daten von 3,6 Millionen Passion.io-Erstellern offen

Ein massives Datenleck gefährdet die persönlichen Daten von über 3,6 Millionen App-Entwicklern, Influencern und Unternehmern, wie ein Bericht von vpnMentor zeigt. Cybersicherheitsexperte Jeremiah Fowler entdeckte eine ungesicherte Datenbank mit sage und schreibe 12,2 Terabyte sensibler Daten, die mit einer App-Entwicklungsplattform verknüpft war.

Die offengelegte Datenbank, die weder verschlüsselt noch passwortgeschützt war, enthielt 3.637.107 Datensätze. Diese Datensätze enthielten Namen, E-Mail-Adressen, Postanschriften und Zahlungsdetails sowohl von Nutzern als auch von App-Entwicklern.

Laut Fowlers Bericht deuteten interne Dateien und der Name der Datenbank darauf hin, dass die Daten Passion.io gehörten, einem Unternehmen mit Sitz in Texas/Delaware. Passion.io bietet eine No-Code-Plattform , die es Einzelpersonen wie Kreativen, Trainern und Prominenten ermöglicht, ohne technische Kenntnisse eigene mobile Apps zu entwickeln. Mit diesen Apps können Nutzer interaktive Kurse anbieten und durch Abonnements oder einmalige Käufe Geld verdienen.

Die offengelegten Informationen, darunter personenbezogene Daten wie Namen, Adressen und sogar Bilder, bergen erhebliche Risiken. Fowler warnt davor, dass solche Daten von Kriminellen für Phishing- oder Social-Engineering-Angriffe genutzt werden könnten, die ein häufiger Ausgangspunkt für Cyberkriminalität sind. Durchgesickerte E-Mail-Adressen und Kaufhistorien können dazu genutzt werden, Personen durch die Vortäuschung eines vertrauenswürdigen Unternehmens zur Preisgabe weiterer persönlicher oder finanzieller Daten zu verleiten.

Darüber hinaus wirft die Veröffentlichung von Benutzerprofilbildern , auf denen teilweise Kinder zu sehen sind, ernsthafte Bedenken hinsichtlich des Datenschutzes auf. Diese Bilder könnten möglicherweise für Identitätsbetrug, die Erstellung gefälschter Konten oder andere Online-Betrugsversuche missbraucht werden.

Der Forscher stellte fest, dass selbst scheinbar harmlose Bilder „potenziell als Waffe eingesetzt oder für unethische Zwecke verwendet werden könnten“. Neben personenbezogenen Daten enthielt die Datenbank auch Videodateien und PDF-Dokumente , bei denen es sich offenbar um Premium-Inhalte handelte, die von App-Entwicklern verkauft wurden, sowie interne Finanzunterlagen. Diese könnten die Einnahmen der Entwickler schmälern und Wettbewerbern Einblick in die Geschäftstätigkeit des Unternehmens gewähren.

Als Fowler das Leck entdeckte, informierte er umgehend Passion.io. Das Unternehmen reagierte umgehend und beschränkte noch am selben Tag den öffentlichen Zugriff auf die Datenbank. Passion.io bestätigte den Fund und erklärte: „Der Datenschutzbeauftragte und das technische Team arbeiten daran, das Problem zu beheben und sicherzustellen, dass dies nicht noch einmal passiert.“

Wenn Ihr Unternehmen dennoch Daten verarbeitet, sollten Sie die folgenden fünf wichtigen Schritte befolgen, um Datenbankfehlkonfigurationen und Datenlecks wie bei Passion.io zu vermeiden. Die folgenden Schritte garantieren zwar keine Perfektion, verringern aber das Risiko, dass eine Datenbank ungeschützt bleibt und Benutzerdaten verloren gehen:

• Implementieren Sie eine Multi-Faktor-Authentifizierung für den Administratorzugriff.

• Verwenden Sie rollenbasierten Zugriff, um einzuschränken, wer vertrauliche Daten anzeigen oder ändern kann.

• Lassen Sie eine Datenbank niemals ohne Kennwort oder Zugriffskontrolle offen.

• Verwenden Sie starke Verschlüsselungsprotokolle und verwalten Sie Schlüssel sicher.

• Stellen Sie sicher, dass alle vertraulichen Daten sowohl auf der Festplatte als auch während der Übertragung verschlüsselt sind.

• Richten Sie Warnmeldungen für öffentliche Bekanntheit oder ungewöhnliche Zugriffsmuster ein.

• Verwenden Sie Cloud-Sicherheitstools oder Konfigurationsscanner (z. B. AWS Config, GCP Security Command Center), um Fehlkonfigurationen in Echtzeit zu erkennen.

• Testen Sie nicht nur Ihre App, sondern auch Ihre Speicher- und Datenbankebenen.

• Führen Sie routinemäßige Schwachstellenbewertungen und Penetrationstests Ihrer Infrastruktur durch.

• Halten Sie die Dokumentation auf dem neuesten Stand und setzen Sie während der Entwicklung Richtlinien durch.

• Stellen Sie sicher, dass alle Teammitglieder, die mit der Infrastruktur umgehen, wissen, wie sie Cloud-Datenbanken sichern, Berechtigungen verwalten und riskante Konfigurationen erkennen.