Bild: Motherboard

Hersteller von Spyfone nutzte Cloud-Service bei Amazons S3 ohne Passwort für Administrator

Sicherheitsforscher haben haarsträubende Fehler in der Implementation des Webdienstes von Spyfone gefunden, wie Motherboard berichtet.

Die Entwickler von Spyfone bedienen sich einer weitgehend ungeschützten Cloud-Instanz bei Amazon S3. Dadurch ist es Dritten möglich, Zugriff auf sämtliche Daten der Kunden des Unternehmens zu bekommen. In Summe soll es sich dabei um mehrere Terabyte an Fotos, Textnachrichten, Audioaufnahmen, Standortdaten, Passwörter und viele andere sensible Informationen halten.

Die Betreiber haben aber nicht nur die Kundendaten kaum geschützt, auch der Backend-Server über den sie selbst zugreifen, ist nicht abgesichert. Und diese Formulierung ist dabei keine Übertreibung, es wird nämlich kein Passwort benötigt, um sich einzuloggen.