Auf einer ungeschützten Google-Cloud des spanischen Recruiting-Dienstleisters Bewanted wurden laut den Sicherheitsforschern von Cybernews mehr als 1,1 Millionen Dateien mit sensiblen Daten von Arbeitssuchenden gefunden. Die Datenpanne betrifft Lebensläufe aus mehreren Ländern und war monatelang öffentlich zugänglich.

Das Sicherheitsforschungsteam von Cybernews hat in einem öffentlich zugänglichen Google-Cloud-Storage-Bucket mehr als 1,1 Millionen sensible Dokumente identifiziert. Der Speicher wurde dem SaaS-Anbieter beWanted zugeordnet, der laut Eigendarstellung ein globales »Talent Pool«-Ökosystem betreibt. Das Unternehmen mit Hauptsitz in Madrid ist unter anderem in Mexiko, Deutschland und Großbritannien vertreten.

Bereits im November des vergangenen Jahres wurde die Sicherheitslücke entdeckt. Trotz wiederholter Kontaktversuche durch die Forscher blieb die Datenquelle laut Cybernews bis zuletzt ohne Zugriffsbeschränkung im Netz verfügbar.

Anzeige

Umfang der offengelegten Informationen

Bei den Daten handelt es sich hauptsächlich um Lebensläufe von Bewerberinnen und Bewerbern, die personenbezogene Informationen in großem Umfang enthalten. Laut Analyse umfassen die Dateien unter anderem komplette Anschriftdaten, E-Mail-Adressen und Geburtsdaten, Staatsangehörigkeiten und Ausweisnummern, Links zu sozialen Netzwerken sowie Bildungs- und Berufshistorien.

Nach Einschätzung der Cybernews-Forscher stellt die Dimension als schwerwiegenden Sicherheitsvorfall ein. Nachdem die Daten über einen längeren Zeitraum – mindestens sechs Monate – frei zugänglich waren, ist davon auszugehen, dass auch unbefugte Dritte Zugriff erhalten haben.

Potenzielle Risiken durch die Datenpanne

Die öffentlich einsehbaren Informationen könnten laut Cybernews auf mehreren Ebenen missbraucht werden. Dazu zählen insbesondere:

• Identitätsdiebstahl: Mit den erfassten personenbezogenen Daten lassen sich sogenannte synthetische Identitäten oder gefälschte Konten erstellen.
• Phishing-Kampagnen: Die Daten ermöglichen gezielte, glaubwürdig wirkende Angriffe per E-Mail oder Messenger.
• Social-Engineering-Attacken: Angreifer könnten sich als Personalvermittler ausgeben oder mithilfe der Daten in berufliche Netzwerke eindringen, um Malware zu verbreiten oder weitere Informationen zu erlangen.

Die Auswertung zeigt zudem, dass sich die Sicherheitslücke nicht auf einzelne Länder beschränkt. Unter den geleakten Ausweisdaten fanden sich Angaben aus Spanien, Argentinien, Guatemala, Honduras und weiteren Staaten.

Empfehlungen zur Absicherung von Cloud-Infrastrukturen

Um ähnliche Vorfälle künftig zu vermeiden, geben die Sicherheitsforscher eine Reihe von Maßnahmen zur Absicherung von Cloud-Speicherinstanzen:

• Zugriffsrechte beschränken: Öffentliche Berechtigungen auf Buckets sollten deaktiviert, der öffentliche Zugriff explizit verhindert werden.
• Feingranulare Rechtevergabe: Zugriffe sollten ausschließlich nach dem Prinzip der minimalen Rechtevergabe (Least Privilege) erfolgen.
• Zugriffsüberwachung aktivieren: Logging- und Monitoring-Funktionen sollten eingerichtet und regelmäßig geprüft werden.
• Verschlüsselung einsetzen: Daten im Ruhezustand sollten serverseitig verschlüsselt werden, idealerweise mit Schlüsselverwaltung über den Google Cloud Key Management Service.
• Sichere Datenübertragung erzwingen: Nur verschlüsselte Verbindungen (SSL/TLS) zulassen, unverschlüsselten Traffic blockieren.
• Regelmäßige Sicherheitsprüfungen: Sicherheits-Audits und Konfigurationsüberprüfungen mit Tools wie dem Google Cloud Security Command Center durchführen.

Zusammenfassung

• Ein ungesicherter Cloud-Speicher von Bewanted enthielt über 1,1 Millionen personenbezogene Bewerberdaten.
• Die Informationen waren über Monate hinweg öffentlich zugänglich und potenziell missbrauchbar.
• Sicherheitsforscher raten zu grundlegenden Maßnahmen zur Absicherung von Cloud-Diensten.