Tausende WhatsApp-Nachrichten lagen ungeschützt im Netz
Chatverläufe von WhatsApp, Telegram, ICloud etc. als gedrucktes Buch? Nur mit der Datensicherheit gabs ein Problem.
Grafik: zapptales.de
Bei dem Münchner Start-up "Zapptales" bestand rund ein Jahr eine schwere Sicherheitslücke. Zapptales stellt für seine Kunden auf Wunsch gedruckte Bücher aus deren Chat-Verläufen in Diensten wie WhatsApp, Telegram, iMessage oder Facebook her. Ein Weihnachtsgeschenk für Leute, die sonst schon alles haben.
Sicherheitforscher wurden neugierig
Chatverläufe von WhatsApp, Telegram, ICloud etc. als gedrucktes Buch? Nur mit der Datensicherheit gabs ein Problem.
Grafik: zapptales.de
Doch das machte eine Gruppe von IT-Sicherheitsexperten neugierig. Sie nennen sich "Zerforschung" und schauten sich den Vorgang genauer an. Sie fanden heraus, dass Hacker private Daten und Nachrichten der Kunden einsehen konnten.
"Dazu gehören unter anderem die Chatlogs, Medien aus den Chats und fertigen PDFs der zusammengestellten Chat-Bücher", heißt es einem Bericht, mit dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die zuständige bayerische Datenschutzaufsicht über den Vorfall informiert wurden. Insgesamt sollen rund 69.000 Konten betroffen gewesen sein, berichtet Zerforschung.
Zugangsdaten zur Amazon-Cloud im Programm versteckt
In einer bestimmten Datei hatten die "Zerforscher" eine Gmail-Adresse als Apple-ID und ein AWS Secret Access Key (= Passwort) für die Amazon Web Services gefunden. Damit bekamen die "Zerforscher" Zugriff auf die Amazon-Cloud von Zapptales und schlugen Alarm.
Lücke binnen 2 Stunden geschlossen
Das Unternehmen Zapptales bestätigte die Schwachstelle, die allerdings nie ausgenutzt worden sei. Das habe eine Prüfung zusammen mit der bayerischen Landesdatenschutzaufsicht und dem BSI ergeben, erklärte die Geschäftsführerin Anna Kimmerle-Hürlimann.
Egal: "Das hätte nicht passieren dürfen, aber wir haben die Lücke innerhalb von zwei Stunden nach Erhalt der Meldung geschlossen und bereits am nächsten Tag eine neue Version der Software veröffentlicht, die das Problem vollständig behoben hat", so Kimmerle-Hürlimann. Den Sicherheitsexperten von Zerforschung sei man dankbar, dass sie die Lücke gefunden haben und man sie so schnell schließen konnte. Zerforschung bestätigte, dass das Problem nach einem Tag behoben wurde.
Zapptales informiert seine Kunden im hauseigenen Blog, habe aber die betroffenen Kunden nicht explizit direkt per E-Mail angeschrieben, kritisieren die Sicherheitsforscher.
Die Forscher nahmen nicht nur mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) , sondern auch den bayrischen Datenschutzbehörden (davon gibt es kurioserweise zwei) und Nachrichten-Magazin Spiegel auf, ferner noch mit dem Bayrischen Rundfunk.
Auch interessant: Wenn das o2-Internet nicht geht, muss gar nicht mal o2 selbst Schuld sein.