Die Conrad Electronic SE berichtet in einer Pressemitteilung von einer Datenpanne: Unbekannte hatten durch Ausnutzung einer Sicherheitslücke Zugang zu 14 Mio. Kundendatensätzen der Conrad Gruppe. Zur Unternehmensgruppe gehört auch die Re-In Retail International GmbH, die unter der Marke voelkner bekannt ist.
Die Datensätze umfassen Postadressen, teilweise E-Mail-Adressen bzw. Fax- und Telefonnummern und bei knapp 20 % der betroffenen Datensätze auch IBANs. Kreditkarteninformationen und Kundenpasswörter seien nicht betroffen. Das Unternehmen habe nach eigenen Angaben unverzüglich Strafanzeige beim Landeskriminalamt Bayern gestellt und sofort das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) informiert. Die Sicherheitsexperten von Conrad hätten die Sicherheitslücke im betroffenen Elasticsearch System bereits identifiziert und geschlossen.
Elasticsearch ist eine Suchmaschine, die Daten in einer No-SQL-Datenbank speichert und auf einfache Weise im Rechnerverbund Hochverfügbarkeit und Lastverteilung bietet. Mit Kibana gibt es eine webbasierte Schnittstelle für die Analyse und Visualisierung der Daten. Standardmäßig kann auf die Daten einer Elasticsearch Instanz ohne jegliche Authentisierungsmaßnahmen zugegriffen werden. Als wichtigste Sicherheitsempfehlungen gelten daher die Einschränkung des netzwerkseitigen Zugangs auf Elasticsearch sowie die Implementierung einer vorgeschalteten Authentisierung. Der netzwerkseitige Schutz lässt sich ohne zusätzliche Investitionen mit einfachen Konfigurationsmaßnahmen oder Firewallsystemen umsetzen. Die einfachste Form der Authentisierung ist eine Basic Authentication im Webserver, die mit Bordmitteln in wenigen Minuten umgesetzt werden kann.
Laut Pressemitteilung sei die Lücke nur durch spezielle Software auffindbar. Gemeint sind damit wohl Schwachstellen-Scanner wie z.B. leaklooker , die Datenbanken im Internet auffinden und auf unsichere Konfigurationen und mangelhafte Versionsstände hin überprüfen. Die Sucharbeit übernehmen aber auch spezialisierte Suchmaschinen wie SHODAN, BinaryEdge oder Censys. SHODAN liefert zum heutigen Tag 3.833 Treffer für Elasticsearch und 25.829 Treffer für Kibana. 1.867 dieser Datenbanken verortet SHODAN in Deutschland. Ist eine Elasticsearch- oder Kibana-Instanz im Internet gefunden, lässt sich neben Mängeln in der Konfiguration einfach herausfinden, ob bekannte Schwachstellen auf die Instanzen zutreffen. Zu den bekannten Schwachstellen, die bereits von Sicherheitsforschern in anderen Fällen identifiziert wurden, gehören CVE-2015-1427, CVE-2017-5638 und CVE-2019-7609, für die Exploits (Programme zum Ausnutzen von Schwachstellen) für jedermann verfügbar sind.
Conrad gibt an, dass keine Hinweise vorliegen, dass der Zugang genutzt worden wäre, um die Daten missbräuchlich zu verwenden. Betroffenen stellt sich die Frage, ob der Eintritt des nicht geringen Risikos eines Identitätsdiebstahls durch entsprechende forensische Analysen entkräftet werden kann. Auch informiert Conrad in der Pressemitteilung nicht, ob eine für die forensische Analyse notwendige Protokollierung der Zugangs- und Zugriffsversuche während des Zeitraums des Bestehens des Datenlecks stattgefunden hat. Da die Täter unerkannt sind, scheiden wohlwollende Sicherheitsforscher als Entdecker der Sicherheitslücke aus. Eine andere Tätergruppe sind Cyberkriminelle, die durch finanzielle Motive angetrieben werden. Es wäre untypisch, wenn Cyberkriminelle den Zugang nicht für einen Abzug sämtlicher Datensätze genutzt haben sollten. Gewissheit wird erst entstehen, wenn im Darknet die Kundendaten zum Verkauf angeboten werden oder Phishing-Angriffe unter Verwendung der betroffenen Daten auftauchen.
Neben der Datenpanne bei Conrad gab es noch zahlreiche weitere spektakuläre Fälle von Datenlecks durch ungeschützte Elasticsearch-Datenbanken: