Beim kalifornischen Unternehmen Peak Design, das für seine Reisetaschen und Zubehörprodukte bekannt ist, kam es zu einem erheblichen Datenleck. Denn das Unternehmen vergaß, eine Passwortsicherung für eine Datenbank einzurichten, wodurch die Daten frei im Internet zugänglich waren. Das Leck, das von Forschern des Cybernews-Teams am 25. April 2024 entdeckt wurde, betraf eine öffentlich zugängliche Elasticsearch-Instanz. Diese Art von Datenbank wird häufig für die Suche und Analyse großer Datenmengen genutzt, sollte jedoch niemals ohne geeignete Authentifizierung im Internet zugänglich sein. Durch die fehlende Sicherung konnten Bedrohungsakteure auf sensible Kundendaten zugreifen, darunter:
- E-Mail-Adressen der Kunden
- Wohnadressen
- Bestellinformationen
- Versandverfolgungscodes
- Anfragen beim Kundensupport
Die Datenbank war ab dem 24. April in Suchmaschinen sichtbar, während die geleakten Support-Tickets einen Zeitraum von fast zehn Jahren von Juni 2014 bis Mai 2023 umfassen.
Die Forscher von Cybernews entdeckten zudem eine Erpressernachricht in den Systemen von Peak Design. Diese deutet darauf hin, dass die Daten mindestens einmal von einem Bedrohungsakteur abgerufen wurden. Die Nachricht, die von einem Ransomware-Bot hinterlassen wurde, forderte eine Zahlung von 0,057 Bitcoin (etwa 3940 US-Dollar), um die Daten nicht zu veröffentlichen oder zu löschen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: