Ein deutscher Cloud-Dienstleister hat versehentlich sensible Daten von möglicherweise der gesamten Bevölkerung Georgiens preisgegeben, behaupten Sicherheitsforscher. Der Cybersecurity-Experte Bob Dyachenko von SecurityDiscovery.com gab bekannt, dass sie kürzlich einen nicht passwortgeschützten Elasticsearch-Index entdeckten, der eine Vielzahl sensibler persönlicher Details georgischer Bürger enthielt. Der Index beherbergte zwei Datenbanken, eine mit fast fünf Millionen persönlichen Datensätzen und eine weitere mit mehr als sieben Millionen. Da die gesamte Bevölkerung Georgiens weniger als vier Millionen Menschen umfasst, besteht die Gefahr, dass trotz zahlreicher Duplikate alle Bürger einem Identitätsdiebstahl, Phishing-Angriffen und mehr ausgesetzt sein könnten.

Die Archive enthielten Personennummer, vollständige Namen, Geburtsdaten, Geschlechter, Telefonnummern und andere sensible Informationen. „Die Daten scheinen aus verschiedenen Quellen gesammelt oder aggregiert worden zu sein, möglicherweise einschließlich staatlicher oder kommerzieller Datensätze und Nummernidentifikationsdienste“, sagte Dyachenko. Die Forscher verfolgten den Ursprung auf einen Server eines deutschen Cloud-Dienstleisters zurück. Der Name des Unternehmens wurde nicht genannt, und der Server wurde „kurz nach der Entdeckung“ vom Netz genommen. Es ist unklar, ob das Unternehmen über den Datenleit informiert wurde. Daher ist auch nicht bekannt, ob in der Zwischenzeit Bedrohungsakteure auf die Archive gestoßen sind und ob die Daten anderweitig abgezogen wurden.

Ohne Klarheit über die Dateneigentümerschaft sind die Möglichkeiten für die betroffenen Einzelpersonen beschränkt, und es bleibt schwierig, Datenschutzgesetze durchzusetzen oder nach Verantwortlichkeit zu suchen, so der Forscher. „Dieser Datenleit verdeutlicht die Komplexität des grenzüberschreitenden Datenschutzes und der Regulierung.“ Via Cybernews