Lücke

Tausende WhatsApp-Nachrichten lagen ungeschützt im Netz

Das Unter­nehmen Zapp­tales kann aus privaten Chat­ver­läufen ein gedrucktes Buch machen. Dazu müssen viel persön­liche Daten hoch­geladen werden. Darauf hatten Unbe­fugte lange Zugriff, wie Sicher­heits­for­scher heraus­fanden.

Chatverläufe von WhatsApp, Telegram, ICloud etc. als gedrucktes Buch? Nur mit der Datensicherheit gabs ein Problem. Chatverläufe von WhatsApp, Telegram, ICloud etc. als gedrucktes Buch? Nur mit der Datensicherheit gabs ein Problem.
Grafik: zapptales.de
Bei dem Münchner Start-up "Zapp­tales" bestand rund ein Jahr eine schwere Sicher­heits­lücke. Zapp­tales stellt für seine Kunden auf Wunsch gedruckte Bücher aus deren Chat-Verläufen in Diensten wie WhatsApp, Tele­gram, iMessage oder Face­book her. Ein Weih­nachts­geschenk für Leute, die sonst schon alles haben.

Sicher­heit­for­scher wurden neugierig

Chatverläufe von WhatsApp, Telegram, ICloud etc. als gedrucktes Buch? Nur mit der Datensicherheit gabs ein Problem. Chatverläufe von WhatsApp, Telegram, ICloud etc. als gedrucktes Buch? Nur mit der Datensicherheit gabs ein Problem.
Grafik: zapptales.de
Doch das machte eine Gruppe von IT-Sicher­heits­experten neugierig. Sie nennen sich "Zerfor­schung" und schauten sich den Vorgang genauer an. Sie fanden heraus, dass Hacker private Daten und Nach­richten der Kunden einsehen konnten.

"Dazu gehören unter anderem die Chat­logs, Medien aus den Chats und fertigen PDFs der zusam­men­gestellten Chat-Bücher", heißt es einem Bericht, mit dem das Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) und die zustän­dige baye­rische Daten­schutz­auf­sicht über den Vorfall infor­miert wurden. Insge­samt sollen rund 69.000 Konten betroffen gewesen sein, berichtet Zerfor­schung.

Zugangs­daten zur Amazon-Cloud im Programm versteckt

In einer bestimmten Datei hatten die "Zerfor­scher" eine Gmail-Adresse als Apple-ID und ein AWS Secret Access Key (= Pass­wort) für die Amazon Web Services gefunden. Damit bekamen die "Zerfor­scher" Zugriff auf die Amazon-Cloud von Zapp­tales und schlugen Alarm.

Lücke binnen 2 Stunden geschlossen

Das Unter­nehmen Zapp­tales bestä­tigte die Schwach­stelle, die aller­dings nie ausge­nutzt worden sei. Das habe eine Prüfung zusammen mit der baye­rischen Landes­daten­schutz­auf­sicht und dem BSI ergeben, erklärte die Geschäfts­füh­rerin Anna Kimmerle-Hürli­mann.

Egal: "Das hätte nicht passieren dürfen, aber wir haben die Lücke inner­halb von zwei Stunden nach Erhalt der Meldung geschlossen und bereits am nächsten Tag eine neue Version der Soft­ware veröf­fent­licht, die das Problem voll­ständig behoben hat", so Kimmerle-Hürli­mann. Den Sicher­heits­experten von Zerfor­schung sei man dankbar, dass sie die Lücke gefunden haben und man sie so schnell schließen konnte. Zerfor­schung bestä­tigte, dass das Problem nach einem Tag behoben wurde.

Zapp­tales infor­miert seine Kunden im haus­eigenen Blog, habe aber die betrof­fenen Kunden nicht explizit direkt per E-Mail ange­schrieben, kriti­sieren die Sicher­heits­for­scher.

Die Forscher nahmen nicht nur mit dem Bundesamt für Sicher­heit in der Infor­mati­ons­technik (BSI) , sondern auch den bayri­schen Daten­schutz­behörden (davon gibt es kurio­ser­weise zwei) und Nach­richten-Magazin Spiegel auf, ferner noch mit dem Bayri­schen Rund­funk.

Auch inter­essant: Wenn das o2-Internet nicht geht, muss gar nicht mal o2 selbst Schuld sein.

Mehr zum Thema Sicherheitslücke