Viele greifen auf kostenlose Online-Dienste zurück, um schnell und unkompliziert PDFs zu erstellen. Eine aktuelle Untersuchung des Cybernews-Forschungsteams deckt auf, dass diese Bequemlichkeit einen hohen Preis haben kann: die Sicherheit persönlicher Daten.
Die Recherchen ergaben, dass zwei bekannte Online-PDF-Dienste, PDF Pro und Help PDF, über 89.000 Nutzerdokumente ungeschützt im Internet zugänglich gemacht haben. Besonders alarmierend ist die Art der betroffenen Dokumente. Es handelt sich um sensible Informationen wie Reisepässe, Führerscheine, Zertifikate, Verträge und weitere persönliche Unterlagen. Diese waren in einem ungesicherten Amazon S3-Bucket gespeichert und für jeden frei zugänglich. Trotz mehrfacher Versuche, die Betreiber zu kontaktieren, blieb das Datenleck zum Zeitpunkt der Veröffentlichung bestehen.
Risiken für die Betroffenen
Die Folgen eines solchen Datenlecks können für die Nutzer gravierend sein. Kriminelle könnten die offengelegten Informationen für verschiedene betrügerische Aktivitäten missbrauchen. Dazu gehören Identitätsdiebstahl, bei dem Kredite oder Kreditkarten im Namen der Opfer beantragt werden könnten, Finanzbetrug durch die Eröffnung von Bankkonten oder die Durchführung teurer Einkäufe, sowie Dokumentenfälschung durch die Manipulation von Verträgen oder Lizenzen.
Empfehlungen zur Schadensbegrenzung
Das Forschungsteam gibt den Online-Diensten mehrere Empfehlungen zur Eindämmung des Lecks und zur Vermeidung ähnlicher Vorfälle in der Zukunft. Dazu gehören die sofortige Beschränkung des öffentlichen Zugangs zum betroffenen Bucket, die Änderung der Bucket-Richtlinien und Zugriffssteuerungslisten, die Überprüfung und Anpassung der Zugriffsrechte für alle gespeicherten Objekte sowie die Aktivierung der serverseitigen Verschlüsselung.
Nutzer sollten sich derweil stets bewusst sein, dass ihre hochgeladenen Dokumente möglicherweise nicht ausreichend geschützt sind. Es empfiehlt sich, sensible Informationen nur über vertrauenswürdige und sicherheitsgeprüfte Plattformen zu teilen. Die Bequemlichkeit kostenloser Dienste sollte nicht auf Kosten der persönlichen Datensicherheit gehen.