♥ core

Atarileaks

Auf der Website von Atari heißt es: „Die Sicherheit und Vertraulichkeit Ihrer Informationen ist uns extrem wichtig.“ – Das hört sich zwar nach einer ehrenvollen Absicht an. Die Praxis beim französischen Publisher scheint davon jedoch stark zu divergieren.

Anders ist kaum zu erklären, wie über 15.000 Datensätze von Abonnenten des Atari-Newsletters, jedermann frei zugänglich, im WWW veröffentlicht werden konnten. In dem Dokument enthalten sind personenbezogene Informationen wie Name, E-Mail-Adresse, Geburtsdatum, Nationalität und Referrer-URL. Vermutlich wird niemand in der Lage sein, mithilfe dieser Daten das Girokonto der betroffenen Personen zu plündern, so manches weniger sicherheitskritische Passwort wird sich bei Kenntnis des Geburtsdatums allerdings schon ändern lassen. Ein gefundenes Fressen für Spammer wäre eine solche Datenbank obendrein allemal.

Wie es bei Atari zu einem derartigen Fauxpas kommen konnte, seit wann das betreffende Dokument im Netz liegt, wann es wieder verschwinden wird und welche Maßnahmen getroffen werden, um weitere Datenlecks in Zukunft zu verhindern, konnte ich, trotz mehrfachen Versuchen der Kontaktaufnahme mit dem Unternehmen, noch nicht klären. Es liegt allerdings die Vermutung nahe, dass der New Yorker Dienstleister „Digital River“, der für Atari die Newsletter-Mails verschickt, bei einem Datenbank-Dump auf Amazon-Web-Services mit der Rechtevergabe all zu freigiebig umgegangen ist.

Update vom 22. November 2011: Seit einigen Tagen sind die Kundendaten nicht mehr im Web verfügbar. Wie vermutet, hat ein technischer Berater Ataris es versäumt, nach einem Server-Crash auch die schützende Firewall wieder herzustellen. Ein Atari-Manager versicherte mir, es handle sich um ein einmaliges Problem, das nicht noch einmal vorkommen werde und, dass die Sicherheitsmaßnahmen des Vertragspartners weiterhin überwacht würden.