Wenn wir mit Freunden, Familie oder dem Partner kommunizieren, dann nutzen wir häufig Messenger-Dienste wie WhatsApp, Telegram oder Threema. Das Münchner Start-Up Zapptales bietet Nutzer:innen an, die privaten Chatverläufe mit ihren Liebsten zu gedruckten Büchern zu binden. Dafür müssen sie ihren Ende-zu-Ende-verschlüsselten Chatverlauf aus dem Messenger bei dem Unternehmen hochladen.
Das funktioniert für jeden Messenger ein bisschen anders. Im Falle von WhatsApp empfiehlt Zapptales dafür eine eigene Software, die die Kund:innen herunterladen können. Sicherheitsexpert:innen vom Kollektiv Zerforschung haben jetzt aufgedeckt, dass im Code dieser Software zeitweise Zugangsdaten zur Amazon-Cloud des Unternehmens standen. Zwischen September 2020 und Oktober 2021 wären so tausende Chats und Kontaktdaten von Kund:innen offen im Netz einsehbar gewesen. Mittlerweile hat das Unternehmen das Sicherheitsproblem behoben.
Zapptales wirbt damit, erinnerungswürdige Momente aus dem Chat auf Papier zu bringen — und liegt damit voll im Trend. Nach Angaben des Unternehmens sollen in diesem Jahr voraussichtlich etwa 50.000 Chat-Bücher gedruckt werden. Die Bücher erinnern im ersten Augenblick an ein klassisches Fotobuch, das man Freunden oder Familie zur Hochzeit, zu Weihnachten oder zum Geburtstag schenken kann. Nur, dass die Bücher von Zapptales nicht nur Bilder, sondern ganze Unterhaltungen umfassen. Auch Sprachnachrichten und Videos können im Buch integriert werden – und zwar über QR-Codes, die der oder die Leser:in scannen und so die Inhalte noch einmal aufrufen kann.
Zugriff auf mehrere Terabyte Daten
Bereits im September diesen Jahres hatte Zerforschung die Zugangsdaten in der Anwendung von Zapptales gefunden, wie das Kollektiv berichtet. Durch das Datenleck hätte Zerforschung zeitweise sämtliche Chats und zehntausende PDFs von fertigen Chat-Büchern einsehen können, die beim Münchner Unternehmen Zapptales gespeichert waren. Auch die E-Mail-Adressen und die Anschriften der Kund:innen seien abrufbar gewesen. Insgesamt 21 Terabyte Daten hätte Zerforschung eigenen Angaben zufolge abgreifen können.
Laut dem Kollektiv waren insgesamt 69.000 Accounts von dem Vorfall betroffen. Das Datenleck, das fast ein Jahr lang bestand, war durch einen Fehler der App-Entwickler entstanden. Bereits Ende September hatte Zerforschung das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) über die Sicherheitslücke informiert.
Sicherheitslücke mittlerweile geschlossen
In einem Blogbeitrag bestätigt das Unternehmen das Datenleck. Eine Analyse, die das Unternehmen zusammen mit der bayrischen Landesdatenaufsicht durchgeführt hatte, hätte allerdings zeigen können, dass die Schwachstelle nicht ausgenutzt wurde, wie die Geschäftsführerin Anna Kimmerle-Hürlimann gegenüber dem „Spiegel“ erklärte. „Das hätte nicht passieren dürfen, aber wir haben die Lücke innerhalb von zwei Stunden nach Erhalt der Meldung geschlossen und bereits am nächsten Tag eine neue Version der Software veröffentlicht, die das Problem vollständig behoben hat“, so Kimmerle-Hürlimann.
Zerforschung bestätigte, dass Zapptales das Problem nach einem Tag behoben hatte. Das Unternehmen bedankte sich dem Kollektiv für den Hinweis auf das Datenleck. Als Reaktion auf den Vorfall habe man eine „zusätzliche Prüfschleife für sicherheitskritische Codes eingeführt“, heißt es in einem Blogbeitrag, der über den Sicherheitsvorfall informiert. Da kein weiterer Schaden entstanden sei, hatte sich das Unternehmen in Absprache mit der zuständigen Behörde dagegen entschieden, betroffene Kund:innen einzeln über den Vorfall zu benachrichtigen.
Zerforschung fordert zusätzliche Verschlüsselung der Daten
„Fehler wie der hier beschriebene können passieren, auch ohne böse Absicht“, schreibt Zerforschung auf ihrem Blog. Umso wichtiger sei es aber, Vorkehrungen zu treffen, um den daraus entstandenen Schaden zu minimieren.
Auf seiner Website wirbt Zapptales damit, verantwortungsvoll mit den Daten seiner Nutzer:innen umzugehen und dabei „höchste Datenschutzstandards“ einzuhalten. Der Upload von Chatverläufen sei SSL-verschlüsselt, auch die Daten würden verschlüsselt auf den Servern gespeichert, schreibt das Unternehmen in dem Artikel zur Sicherheitslücke auf seinem Blog. Laut Zerforschung verschlüsselt Zapptales aber nur die Verbindung, die Daten selbst könne das Unternehmen dennoch mitlesen.
Das Kollektiv schlug deshalb vor, dass Zapptales die Daten der Kund:innen zusätzlich verschlüsseln sollte: „Das Unternehmen könnte die Daten auf seinen Servern so verschlüsseln, dass nur die Kund*Innen und die Druckerei die Chats entschlüsseln können.“ Die Idee sei technisch umsetzbar, würde allerdings einen Mehraufwand für das Unternehmen bedeuten.
Eine weitere Gefahr sieht Zerforschung in den QR-Codes, die in den Chat-Büchern abgedruckt sind. Sobald die QR-Codes in die falschen Hände gerieten, könne jede:r auf die persönlichen Sprachnachrichten oder Videos zugreifen. Auch hier fordert das Kollektiv bessere Sicherheitsvorkehrungen. Zapptales wolle in Zukunft eine Pin-Abfrage vorschalten, erklärte die Geschäftsführerin daraufhin gegenüber Zerforschung. Das soll allerdings erst nach dem Weihnachtsgeschäft passieren.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires