De Duitse hackerclub Chaos Computer Club heeft meer dan vijftig datalekken gevonden en kreeg daarmee toegang tot 6,4 miljoen persoonsgegevens. De club ontdekte ook een kwetsbaarheid bij het Nederlandse Ministerie van Volksgezondheid, Welzijn en Sport.
Onderzoekers van CCC hebben de afgelopen weken persoonsgegevens gevonden bij 'meer dan vijftig' datalekken, schrijft de Duitse hackersgroep. Het zou gaan om datalekken bij bedrijven en overheidsinstanties. De hackers ontdekten kwetsbaarheden bij het Ministerie van Volksgezondheid, Welzijn en Sport, BMW, Deutsche Bahn, Nestlé en MediaMarktSaturn in Oostenrijk.
De CCC schrijft dat de onderzoekers toegang hadden tot meer dan 6,4 miljoen persoonsgegevens, onder meer klantgegevens van winkels, passagiersgegevens van een luchtvaartmaatschappij, patiëntgegevens, gegevens van sollicitanten, verzekeringsgegevens en informatie van sociale netwerken. Alle data die de onderzoekers vonden was afkomstig uit onbeveiligde bronnen.
De onderzoekers schrijven dat in meer dan de helft van de gevallen gevoelige informatie verkregen was uit openlijk toegankelijke Git-repositories en databaseservers die vrij toegankelijk waren zonder authenticatie. In andere gevallen fungeerden onbeveiligde MySQL-servers, Symfony-profilers en configuratiedata die foutief bezorgd werden aan publieke webservers, als toegangspoort. Zo kregen de onderzoekers ook toegang tot private keys en access tokens voor clouddiensten. In feite vonden de onderzoekers de gegevens dus op dezelfde manier als hoe tweaker SchizoDuckie binnenkwam bij de Belastingdienst. Ook was informatie te vinden met Elasticsearch, onder meer door te zoeken naar 'storing'.
De CCC heeft in alle gevallen de bedrijven en overheidsinstanties op de hoogte gebracht van de lekken. De reacties die de groep daarop kreeg, lopen uiteen. Matthias Marx van de CCC voegt daarbij toe dat hij allang blij is dat geen van de onderzoekers wordt vervolgd voor het melden van de datalekken. Twee bedrijven hebben de datalekken genegeerd, driekwart van de bedrijven hebben de onderzoekers vriendelijk bedankt. Een aantal bedrijven hebben de groep donaties aangeboden. Die hebben de leden van de hackersgroep doorgegeven aan Freifunk Rheinland, BUND Hamburg, FragDenstaat en C3 Teleshopping.
Behalve tot gegevens van bedrijven, wisten de onderzoekers ook toegang te krijgen tot een slechtbeveiligde server vol gestolen creditcardgegevens in Frankfurt. De groep bracht de lokale politie op de hoogte, maar die reageerde langzaam. Daarom bracht de groep ook de FBI op de hoogte. Kort daarna ging de server offline.
De hackersgroep geeft geen details van de datalekken en geeft ook niet vrij welke data er precies ingezien is bij welke organisatie. Wel zegt de groep dat alle kwetsbaarheden responsible gedeeld zijn en dat geen persoonsgegevens gedownload zijn door de groep. De CCC is van plan om de komende tijd nog meer willekeurige zoekpogingen te doen naar vrij toegankelijke persoonsgegevens.
In een reactie aan Tweakers zegt een woordvoerder van het Ministerie van VWS dat het een responsible disclosure-melding ontvangen heeft van iemand die in een van de systemen van VWS een kwetsbaarheid in de beveiliging had ontdekt. "We zijn dankbaar voor dat soort meldingen en hebben het diepgravend onderzocht. De kwetsbaarheid is inderdaad geconstateerd en vervolgens hersteld." Volgens de woordvoerder bevatte het betreffende systeem geen persoonsgegevens, behalve van mensen die 'professioneel bij de ontwikkeling en het onderhoud betrokken zijn', maar dat was al publiek beschikbare informatie. Daarom is er volgens de woordvoerder geen sprake van een datalek en is er als zodanig ook geen melding gedaan bij de Autoriteit Persoonsgegevens.