Fehlkonfiguration: Datenleak beim Open Worldwide Application Security Project

Das Open Worldwide Application Security Project (OWASP) hat ein Datenleck vermeldet. Dabei waren persönliche Daten der Community nicht ausreichend abgesichert. Die OWASP ist eine Non-Profit-Organisation, die die Sicherheit von Anwendungen und Webdiensten im Internet optimieren will. In einem Statement führen die Verantwortlichen aus, dass persönliche Daten der Community öffentlich zugänglich waren. Schuld sei eine Fehlkonfiguration eines Wiki-Webservers. Bei den geleakten Daten handele es sich um Aufnahmedokumente, die unter anderem E-Mail-Adressen und Telefonnummern enthalten.

Davon sollen aber nur Mitglieder betroffen sein, die sich zwischen 2006 und 2014 registriert haben. In diesem Zeitraum schrieb die OWASP für eine Anmeldung noch vor, dass potenzielle Mitglieder eine Verbindung zur OWASP-Community nachweisen müssen.

Auswirkungen des Leaks

Die Verantwortlichen geben an, die Schwachstelle mittlerweile geschlossen zu haben. So soll der Zugriff nicht mehr möglich und der Server nun unter anderem mit einer Zwei-Faktor-Authentifizierung effektiver abgesichert sein. Zusätzlich seien die Daten inzwischen gelöscht. Eine entsprechende Löschanfrage ging auch an das Web Archive.

Ob es unbefugte Zugriffe auf die Nutzerinformationen gegeben hat, geht aus dem Statement nicht hervor. Sind Daten an Angreifer abgeflossen, können sie die persönlichen Informationen für Phishing-Attacken nutzen. OWASP-Mitglieder sollten also bei verdächtigen Mails mehrmals hinschauen.

Das OWASP versucht derzeit, betroffene Mitglieder zu benachrichtigen. Da die Informationen aber maximal 18 Jahre alt sind und zum Teil veraltete Kontaktdaten enthalten, gestalte sich der Prozess als schwierig. Am Ende des Statements entschuldigt sich das OWASP bei den Betroffenen. Vor dem Hintergrund des Schwerpunkts der OWASP Foundation auf Cybersicherheit sind sich die Verantwortlichen über die Brisanz des Vorfalls im Klaren.

(des)