Datenleck bie Kamera Zubehör Hersteller Peak Design betrifft eine halbe Million Datensätze
Beim kalifornischen Unternehmen Peak Design, das für seine Reisetaschen und Zubehörprodukte bekannt ist, kam es zu einem erheblichen Datenleck. Denn das Unternehmen vergaß, eine Passwortsicherung für eine Datenbank einzurichten, wodurch die Daten frei im Internet zugänglich waren. Das Leck, das von Forschern des Cybernews-Teams am 25. April 2024 entdeckt wurde, betraf eine öffentlich zugängliche Elasticsearch-Instanz. Diese Art von Datenbank wird häufig für die Suche und Analyse großer Datenmengen genutzt, sollte jedoch niemals ohne geeignete Authentifizierung im Internet zugänglich sein. Durch die fehlende Sicherung konnten Bedrohungsakteure auf sensible Kundendaten zugreifen, darunter:
- E-Mail-Adressen der Kunden
- Wohnadressen
- Bestellinformationen
- Versandverfolgungscodes
- Anfragen beim Kundensupport
Die Datenbank war ab dem 24. April in Suchmaschinen sichtbar, während die geleakten Support-Tickets einen Zeitraum von fast zehn Jahren von Juni 2014 bis Mai 2023 umfassen.
Die Forscher von Cybernews entdeckten zudem eine Erpressernachricht in den Systemen von Peak Design. Diese deutet darauf hin, dass die Daten mindestens einmal von einem Bedrohungsakteur abgerufen wurden. Die Nachricht, die von einem Ransomware-Bot hinterlassen wurde, forderte eine Zahlung von 0,057 Bitcoin (etwa 3940 US-Dollar), um die Daten nicht zu veröffentlichen oder zu löschen.