BANGKOK: Persönliche Daten von Tausenden Nutzern von TrueMove-H wurden ohne ausreichende Sicherheit in einem Amazon Service S3-Cloud-Speicher-Bucket aufbewahrt, auf den jeder zugreifen konnte.

Die durchgesickerten Daten enthielten PDFs und JPG-Dateien mit Ausweisdokumenten, einschließlich Pässen und ID-Karten von 46.000 TrueMove-H-Kunden. Der Gesamttransportumfang betrug 32 GB, hat der Sicherheitsexperte Niall Merrigan festgestellt. Inwischen hat sich die für Telekommunikation zuständige Behörde NBTC eingeschaltet und von TrueMove Auskunft über das Online-Leck verlangt. TrueMove teilte am Sonntag mit, das Leck sei bereits behoben.

Merrigan recherchierte und kam zu dem Ergebnis, dass gescannte ID-Karten in diesem S3-Bucket aufbewahrt wurden. Es habe keinerlei Sicherheit gegeben, die Dateien zu schützen. Wer sie in der URL gefunden habe, hätte alle gescannten Details herunterladen können.

Merrigan kritisierte die langsame Reaktion von TrueMove H im Umgang mit dem Leck. Er schickte der Abteilung für Support einen ausführlichen Bericht am Samstag, 10. März, in dem er detailliert beschrieb, wie er das Leck gefunden hatte, mit Beispielen für die verfügbaren Dateien und der Aufforderung, mit ihrem Sicherheitsteam zu sprechen. Die Antwort sei ziemlich schockierend gewesen. TrueMove gab zu, keine Sicherheitsabteilung zu haben und dass Merrigan sich zu den Geschäftszeiten an ihre Zentrale wenden sollte.