FedEx: Mehr als 119.000 Datensätze frei abrufbar im Netz

Keine guten Nachrichten für Amazon und Fedex. Sicherheitsforscher von Kromtech fanden mehrere Tausend sensible Daten auf einem ungesicherten Storage-Server auf Amazon S3. Schuld an dem Datenleck ist diesmal das US-Logistikunternehmen FedEx.

Bereits am 05. Februar fanden die Sicherheitsforscher von Kromtech einen ungesicherten Storage-Server auf Amazon S3 (bei Amazon S3 handelt es sich um Speicher für das Internet). Die Forscher fanden auf dem Server vertrauliche Daten von FedEx-Kunden. Insgesamt handelt es sich um mehr als 119.000 Dateien, darunter gescannte Frachtdokumente und Personalausweise, wie ZDnet berichtet.

Kein Hinweis auf Missbrauch der Daten

Auf dem Server fanden sich nach Angaben des Sicherheitsanbieters Kromtech vor allem Unterlagen aus den Jahren 2009 bis 2012, wobei einige auch aus dem Jahr 2015 stammen sollen. Seit wann diese für jeden einsehbar auf dem Server lagen, ist nicht bekannt. Bekannt ist hingegen, dass die Dateien ursprünglich dem US-Unternehmen Bongo International gehörten. Das Unternehmen war auf Logistikdienstleistungen für den grenzübergreifenden Online-Handel spezialisiert und wurde 2015 von FedEx übernommen. Die von Bongo International angebotenen Dienstleistungen wurden ab 2016 von FedEx unter dem Namen „FedEx Cross-Border International“ angeboten, allerdings im April 2017 wieder eingestellt.

Kromtech versuchte noch am Tag des Auffindens den Server absichern zu lassen, allerdings reagierte laut ZDnet Fedex weder auf E-Mails noch auf Anrufe bei der Hotline des FedEx Cross Border Merchant Customer Support. Erst nach dem Kromtech die Medien informierte, wurde der Server abgesichert. Fedex selbst scheint die Sicherheitslücke herunterzuspielen. Ein Sprecher teilte laut ZDnet mit, dass man nach einer vorläufigen Untersuchung bestätigen könne, „dass einige archivierte Kontoinformationen von Bongo International auf einem von einem Drittanbieter gehosteten öffentlichen Cloud-Server sicher sind.“ Man habe zudem keinen Hinweis darauf, dass es zu einem Missbrauch der Daten gekommen ist. Allerdings setzt man die Ermittlungen fort.

Fraglich, ob FedEx von den Daten wusste

Dies wird auch nötig sein. Kromtech-Sprecher Bob Diachenko schätzt, dass „wahrscheinlich jeder, der die Dienste von Bongo International in den Jahren 2009 bis 2012 benutzt hat, von dem Datenverlust betroffen ist.“

Der Fall von Bongo International und FedEx macht deutlich, wie wichtig es ist, dass bei Fusionen und Übernahmen das Unternehmen, das seine Vermögenswerte verkauft, seine Kunden darüber informiert, dass das Geschäft verkauft wird und ihre privaten Daten in neues Eigentum übertragen werden. Das einkaufende Unternehmen sollte den Kunden die Möglichkeit geben, die Übertragung ihrer Daten zu widerrufen und einen entsprechenden Datenschutzhinweis zu erstellen. In dem oben beschriebenen Fall wird deutlich, wie wichtig es ist, die digitalen Vermögenswerte zu prüfen, wenn ein Unternehmen eine andere kauft. Es muss sichergestellt werden, dass Kundendaten vor, während und nach dem Verkauf gesichert und ordnungsgemäß gespeichert werden. Da es nun zu einem erheblichen Datenleck gekommen ist, hält Kromtech-Sprecher Diachenko es für möglich, das FedEx nichts von den Daten auf dem Cloud-Server wusste.