Millionen Identitätsdokumente ungeschützt im Netz: Passfälschungen drohen

Seit Monaten lagerten Hunderttausende Reisepässe, Personalausweise und Führerscheine ungeschützt im öffentlichen Netz – zugänglich für jeden mit einem Webbrowser. Die Sicherheitslücke betrifft nicht nur vereinzelte Dokumente, sondern ganze Datenbanken mit sensiblen Identitätsnachweisen. Betroffen sind Bürger aus Europa, Nordamerika und anderen Regionen, deren persönliche Daten über einfache URLs abrufbar waren – ohne Passwortschutz oder Zugriffskontrollen.

Wie Datenlecks Identitäten gefährden

Die betroffenen Dokumente stammen aus verschiedenen Quellen, darunter ein in Kalifornien ansässiger Cannabis-Club namens PuffPal, der die Daten offenbar für Kundenverifizierungen nutzte. Doch statt diese zu sichern, speicherte das Unternehmen die hochsensiblen Scans in einer ungeschützten Cloud-Datenbank. Laut dem Cybersicherheitsexperten Sammy Azdoufal handelt es sich um ein „dringliches Problem“, da Kriminelle solche Daten schnell für Identitätsdiebstahl, Passfälschungen oder Social-Engineering-Angriffe missbrauchen könnten.

• Reisepässe: Enthalten Name, Geburtsdatum, Passnummer und Foto – genug für gefälschte Reisedokumente.
• Personalausweise: Oft mit Adressen und Ausweisnummern, ideal für Bankbetrug.
• Führerscheine: Können für gefälschte Identitäten oder Mietwagenbetrug genutzt werden.

Die Dokumente waren über standardisierte URLs erreichbar, die sich leicht erraten oder durch einfache Skripte abfragen ließen. Ein Beispiel: Durch die Eingabe einer Seriennummer in einen Browser erscheint direkt das gesuchte Dokument – ohne Authentifizierung.

Wer ist betroffen und wie kam es dazu?

Die Leckage betrifft nicht nur PuffPal, sondern auch andere Unternehmen, die mit Nefos Systems, einem Anbieter von Identitätsprüfungssoftware, zusammenarbeiten. Laut Azdoufal wurden die Daten über Monate hinweg öffentlich zugänglich gehalten, obwohl mehrere Sicherheitsforscher bereits im Mai 2024 auf das Problem hinwiesen. Erst nach intensiver Recherche des Verge und externem Druck wurden die Dokumente gesichert – doch der Schaden könnte bereits entstanden sein.

Betroffen sind vor allem:

• EU-Bürger (Deutschland, Spanien, Frankreich u. a.), deren Reisepässe und Personalausweise exponiert waren.
• Nordamerikaner, darunter US-Bürger mit Führerscheinen in der Cloud.
• Kunden von Cannabis-Clubs, die ihre Identität für den legalen Konsum nachweisen mussten.

Die Ursache liegt vermutlich in einer Kombination aus menschlichem Versagen und mangelnder Security-Awareness: Viele Unternehmen speichern sensible Daten in Cloud-Speichern wie Amazon S3 oder Google Cloud Storage, ohne diese zu verschlüsseln oder Zugriffsbeschränkungen einzurichten. Ein einfacher Fehler, der jedoch schwerwiegende Folgen haben kann.

Was Betroffene jetzt tun sollten

Obwohl die Datenbanken mittlerweile gesichert sein sollen, bleibt die Frage: Wer hat in den Monaten des Lecks darauf zugegriffen? Die Antwort ist beunruhigend. Jeder mit technischem Know-how hätte die Passwörter und Fotos herunterladen und weiterverkaufen können – ein lukratives Geschäft für Cyberkriminelle.

Experten raten Betroffenen zu folgenden Schritten:

• Sperrung der Dokumente: Bei der ausstellenden Behörde (z. B. Bürgeramt oder Passbehörde) prüfen, ob das Dokument gesperrt oder erneuert werden muss.
• Überwachung der Kreditwürdigkeit: Bei Verdacht auf Identitätsdiebstahl eine Schufa-Auskunft anfordern und auf ungewöhnliche Aktivitäten achten.
• Passwort-Reset: Alle Online-Konten mit sensiblen Daten (Banken, Social Media) mit starken, einzigartigen Passwörtern schützen.
• Meldung bei Behörden: In Deutschland kann eine Anzeige bei der Polizei oder beim Bundesamt für Sicherheit in der Informationstechnik (BSI) helfen, um im Schadensfall rechtliche Schritte einzuleiten.

Zudem sollten Unternehmen ihre Sicherheitsprotokolle überprüfen:

• Datenverschlüsselung: Alle sensiblen Dokumente müssen verschlüsselt gespeichert werden.
• Zugriffskontrollen: Nur autorisierte Personen dürfen auf solche Daten zugreifen.
• Regelmäßige Audits: Externe Sicherheitsaudits helfen, solche Lücken frühzeitig zu erkennen.

Fazit: Ein Weckruf für Datenschutz in der Cloud-Ära

Das jüngste Leck zeigt einmal mehr, wie leicht sensible Daten in der digitalen Welt verloren gehen – und wie schwer die Folgen sein können. Während Unternehmen zunehmend auf Cloud-Lösungen setzen, wird die Sicherheit oft vernachlässigt. Die Verantwortung liegt nicht nur bei den Anbietern, sondern auch bei den Nutzern, die ihre Daten preisgeben.

Langfristig wird es darauf ankommen, dass Regierungen strengere Vorschriften erlassen und Unternehmen proaktiv handeln. Bis dahin bleibt nur eine Empfehlung: Misstrauen Sie ungewöhnlichen Links, schützen Sie Ihre Daten wie Ihr Portemonnaie – und hoffen Sie, dass Sie nicht eines Tages zu den Opfern zählen.