Redmond, Regensburg, Köln - 23. Januar 2020 - Sebastian Evers
Ein Sicherheitsforscher (Bob Diachenko) entdeckte die frei zugängliche Datenbank, welche aus einem Cluster aus fünf Elasticsearch-Servern besteht. Auf Diachenkos Meldung bei Microsoft hin, am 31. Dezember 2019, sicherte das Unternehmen die Server noch am selben Tag.
Die Datenbank umfasst anonymisierte Analyse-Daten. Unter anderem Informationen wie E-Mail-Adressen, IP-Adressen und umfangreiche Details zum jeweiligen Supportvorgang. Nach Angaben von Microsoft selbst enthielt ein Großteil der Datensätze keine persönlichen Informationen der Betroffenen. "Als Teil der Standardverfahren von Microsoft werden Daten, die in der Analyse-Datenbank für Supportfälle gespeichert sind, mit automatisierten Tools bearbeitet, um persönliche Informationen zu entfernen", führt der Softwareriese weiter aus.
Das ist allerdings nicht unbedingt ein Grund zum Aufatmen. Zumindest nicht für Betroffene, deren E-Mail-Adresse beispielsweise als "Vorname Nachname@E-Mail-Domain.de" gespeichert war. Derart betroffene Nutzer würden zeitnahe über das gravierende Datenleck informiert. Ein Missbrauch der Daten sei zum derzeitigen Zeitpunkt nicht bekannt - kann aber in solchen Fällen für die spätere Nutzung nicht ausgeschlossen werden.
Es gilt schon jetzt als das größte deutsche Datenleck, aber auch 400.000 Österreicher sind betroffen. Die persönlichen Daten von mehr als drei Millionen Kunden des Autovermieters Buchbinder befanden sich über Wochen schutzlos im Internet - für jeden in Form von Datenbank-Backups - zugänglich. Adressen und Telefonnummern - teils von Prominenten und Politikern oder Cobra-Mitarbeitern - waren darunter zu finden.
Auch Unfallberichte, Schadensbilder von Fahrzeugen, E-Mail-Verkehr - fünf Millionen Dateien an Korrespondenz - Rechnungen und Verträge sowie Zugangsdaten von Buchbinder-Mitarbeitern waren für jedermann zugänglich.
Mehr als neun Millionen Mietverträge aus den letzten sechzehn Jahren frei einsehbar: Diese enthalten Daten wie Namen, Adressen, Geburtsdatum, Führerscheininformationen von Mietern und Fahrern sowie etwaige angegebene Mobilrufnummern und E-Mail-Adressen sowie Informationen zu Zahlungen und komplette Bankverbindungen.
Eine derart umfassende Datensammlung höchstpersönlicher Informationen ist der heilige Gral für Kriminelle. Das Potenzial möglicher Straftaten, welche sich damit begehen lassen, ist leider immens.