Tausende sensibler Söldner werden nach Sicherheitslücken ausgesetzt

Demonstranten am Standing Rock in North Dakota, wo privates Sicherheitspersonal von TigerSwan stationiert war. (Bild über CBSNews.com)

Lebensläufe von Hunderten von Personen, die sich um eine Stelle bei einer in den USA ansässigen privaten Sicherheitsfirma beworben hatten, wurden nach einer Sicherheitslücke durch eine externe Personalvermittlungsfirma aufgedeckt.

Auf einem öffentlichen, nicht gelisteten Speicherserver von Amazon Web Services wurden von Chris Vickery, Direktor für Cyber-Risikoforschung bei der Sicherheitsfirma UpGuard, rund 9.400 Lebensläufe entdeckt.

Der Server gehört dem Personalvermittlungsunternehmen TalentPen, das bis Februar von der Söldnerfirma TigerSwan mit Dienstleistungen zur freiwilligen Einreichung von Lebensläufen beauftragt war.

Die Lebensläufe enthalten die Personalien potenzieller Mitarbeiter, die sich bereits 2008, als die private Sicherheitsfirma gegründet wurde, für TigerSwan beworben hatten. Viele von denen, die in die Reihen des Unternehmens eintraten, leisteten nach dem Irakkrieg, bei den Olympischen Spielen in Sotschi und, noch kontroverser, den angeblich nicht lizenzierten Protesten gegen die Pipeline in North Dakota Sicherheitsdienste.

Die exponierten Dokumente enthalten eine Reihe von persönlichen Informationen, darunter die Privatadresse des Antragstellers, Telefonnummern, E-Mail-Adressen, Führerschein- und Reisepassnummern sowie Sozialversicherungsnummern.

Hier sind die bisher größten Hacks, Leaks und Datenschutzverletzungen des Jahres 2017

Hier sind die bisher größten Hacks, Leaks und Datenschutzverletzungen des Jahres 2017

Dutzende von Datenschutzverletzungen, Millionen von Menschen betroffen.

Weiterlesen

Hunderte von Lebensläufen behaupteten, “streng geheim” zu sein und Zugang zu hochgradig geheimen sensiblen Informationen zu haben. In vielen Fällen enthalten die Lebensläufe Details der früheren Aufgaben eines Bewerbers, einschließlich sensibler Verteidigungs- und Geheimdienstaufgaben.

Während die Mehrheit der Bewerber US-Veteranen sind, sollen einige der Lebensläufe irakischen und afghanischen Staatsangehörigen gehören, die in ihren Heimatländern mit US-Streitkräften und Regierungsbehörden zusammengearbeitet und gearbeitet haben – die nun durch die Offenlegung ihrer früheren Arbeit gefährdet sein könnten.

In einem von UpGuard veröffentlichten Blogbeitrag befanden sich unter den Lebensläufen “die Kontaktinformationen eines ehemaligen US-Botschafters in Indonesien und eines ehemaligen Direktors des Geheimdienstes der CIA, die jeweils in den Referenzen eines Lebenslaufs aufgeführt sind”.

Vickery hat erzählt ZDNet in einem Telefonat am Freitag vor der Veröffentlichung, dass solche Daten von ausländischen Geheimdiensten “sehr begehrt” seien.

“Wenn Sie einen Auftragnehmer haben, der für die NSA arbeitet, Sie seinen Lebenslauf haben und seine persönliche Yahoo-E-Mail-Adresse kennen, sind sie ein hochwertiges Ziel, auf das Sie Angriffe abzielen können”, sagte er. “Die Geheimdienstkampagnen, die für diesen Datenschatz verwendet werden können, sind extrem.”

Vickery fügte hinzu, dass UpGuard ab dem Zeitpunkt der Entdeckung mehr als einen Monat gebraucht habe, um den Server zu sichern – zum Teil, weil der Server nicht zu TigerSwan gehörte.

Amazon griff schließlich ein und schaltete den TalentPen-eigenen Server am 24. August ab.

In einer am Samstag veröffentlichten Erklärung bestätigte TigerSwan den Zeitplan und bot weitere Details an.

Laut der Erklärung hat TalentPen eine sichere Site eingerichtet, um die Lebenslaufdateien nach Beendigung des Vertrags mit dem Personalvermittlungsunternehmen auf einen TigerSwan-Server zu übertragen. TigerSwan sagte, dass es “erfuhr, dass unser ehemaliger Recruiting-Anbieter TalentPen eine Bucket-Site auf Amazon Web Services für die Übertragung von Lebensläufen auf unseren sicheren Server verwendet, sie jedoch nach Ablauf unserer Anmeldedaten nie gelöscht hat.”

“Da wir diese Site nicht kontrollierten oder keinen Zugriff darauf hatten, war uns nicht bewusst, dass diese Dokumente noch im Internet waren, geschweige denn öffentlich zugänglich waren”, heißt es in der Erklärung.

“Wir nehmen das Versäumnis von TalentPen ernst, die Sicherheit dieser Informationen zu gewährleisten, und bedauern alle Unannehmlichkeiten oder Offenlegungen, die unser ehemaliger Recruiting-Anbieter diesen Bewerbern verursacht haben könnte”, sagte TigerSwan.

James Reese, CEO von TigerSwan, sagte, das Unternehmen habe „Schritte eingeleitet“, um die von dem Verstoß betroffenen Personen zu benachrichtigen.

Susan Govea, Eigentümerin von TalentPen, reagierte am Samstag nicht auf eine Bitte um Stellungnahme.

Hast du einen Tipp?

Sie können Tipps sicher über Signal und WhatsApp unter 646-755-849 senden. Sie können auch PGP-E-Mails mit dem Fingerabdruck senden: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.

Weiterlesen

ZDNET-UNTERSUCHUNGEN

  • Forscher sagen, dass ein Alkoholtester Mängel aufweist, was unzählige Verurteilungen in Frage stellt
  • Klagen bedrohen die infosec-Forschung genau dann, wenn wir sie am dringendsten brauchen
  • Das Ragtime-Programm der NSA zielt auf Amerikaner ab, wie durchgesickerte Dateien zeigen
  • Durchgesickerte TSA-Dokumente enthüllen die Sicherheitslücken des New Yorker Flughafens
  • US-Regierung drängte Technologieunternehmen zur Herausgabe des Quellcodes
  • Millionen von Verizon-Kundendatensätzen durch Sicherheitslücke aufgedeckt
  • Treffen Sie die zwielichtigen Tech-Broker, die Ihre Daten an die NSA liefern
  • Innerhalb der globalen Terror-Watchlist, die Millionen heimlich beschattet
  • 198 Millionen US-Amerikaner von „größtem“ Verlust von Wählerrekorden aller Zeiten betroffen
  • Großbritannien hat das „extremste Überwachungsgesetz, das jemals in einer Demokratie verabschiedet wurde“ verabschiedet.
  • Microsoft sagt, dass „keine bekannte Ransomware“ unter Windows 10 S läuft, also haben wir versucht, sie zu hacken
  • Durchgesickertes Dokument enthüllt britische Pläne für eine umfassendere Internetüberwachung

Leave a Comment