Sicherheitslücke aufgedeckt: Tausende WhatsApp-Nachrichten ungeschützt im Netz
Autor: Tom Wannenmacher
Wir brauchen deine Hilfe – Unterstütze uns!
In einer Welt, die zunehmend von Fehlinformationen und Fake News überflutet wird, setzen wir bei Mimikama uns jeden Tag dafür ein, dir verlässliche und geprüfte Informationen zu bieten. Unser Engagement im Kampf gegen Desinformation bedeutet, dass wir ständig aufklären und informieren müssen, was natürlich auch Kosten verursacht.
Deine Unterstützung ist jetzt wichtiger denn je.
Wenn du den Wert unserer Arbeit erkennst und die Bedeutung einer gut informierten Gesellschaft für die Demokratie schätzt, bitten wir dich, über eine finanzielle Unterstützung nachzudenken.
Schon kleine Beiträge können einen großen Unterschied machen und helfen uns, unsere Unabhängigkeit zu bewahren und unsere Mission fortzusetzen.
So kannst du helfen!
PayPal: Für schnelle und einfache Online-Zahlungen.
Steady: für regelmäßige Unterstützung.
Die Sicherheitsexperten von zerforschung.org haben entdeckt, dass Tausende WhatsApp-Nachrichten mit insgesamt 21 Terabyte Daten aus Chats inklusive Fotos und Videos komplett ungeschützt im Netz lagen.
Weihnachtszeit ist Geschenkezeit, natürlich auch in diesem Jahr. Viele suchen verzweifelt nach schönen, möglichst originellen Geschenken, auch in unserem Freundeskreis. Von »Ihr Name auf einem Reiskorn« bis »Deine schönsten Urlaubsfotos als Fotobuch« bleibt kein Wunsch unerfüllt. Auf der Jagd nach dem besten Geschenk sind Freund*innen von uns auf zapptales gestoßen. Der Dienst verspricht, individuelle Bücher drucken zu lassen, ungefähr so wie Fotobücher – nur mit privaten Chatverläufen. Moment… private Chats auf fremde Server laden, um sie drucken zu lassen? Da hören wir die Glöckchen läuten. Aber keine Weihnachtsglöckchen, sondern Alarmglocken. Leider stellte sich heraus: Zu Recht!
Stellungnahme von zapptales
Wir haben eine Sicherheitslücke geschlossen! In diesem Blogartikel möchten wir unseren Kunden eine gute und eine schlechte Nachricht mitteilen.
Wie so üblich, beginnen wir mit der schlechten Nachricht: Ende September 2021 haben wir sowohl vom Bayerischen Landesamt für Datenschutz als auch vom Bundesministerium für Sicherheit in der Informationstechnik den Hinweis einer Gruppe von Sicherheitsforschern erhalten, der uns darauf aufmerksam gemacht hat, dass es eine Sicherheitslücke in der damals aktuellen Version 1.5.1 (Release am 6.10.2020) der Desktop-Software gab. Anhand dieser Schwachstelle wäre es theoretisch möglich gewesen, auf private Daten unserer Kunden zuzugreifen.
Nun greift aber glücklicherweise die gute Nachricht: Tatsächlich waren keine Kundendaten betroffen und die Sicherheitslücke wurde sofort von uns behoben. Es besteht also für unsere Kunden kein Anlass zur Sorge.
Und nun die Details:
Wir wurden am 21. September bzw. 22. September 2021 vom Bayerischen Landesamt für Datenschutzaufsicht und dem Bundesministerium für Sicherheit in der Informationstechnik auf diese Sicherheitslücke aufmerksam gemacht und haben sofort reagiert – Datenschutz steht schließlich auch für uns an oberster Stelle. Im ersten Schritt haben wir den Zugriff auf die Daten sofort gesperrt und im zweiten Schritt (am 23. September 2021) eine neue Version der Software released, die die fehlerhaften Dateien, die den Zugriff ermöglicht haben, nicht mehr enthielt. Mit diesen Maßnahmen war und ist ein potenzieller Zugriff auf Kundendaten nicht mehr möglich.
Außerdem haben wir sofort eine detaillierte Analyse bei einem IT-Dienstleister in Auftrag gegeben. Diese hat ergeben, dass die der Fehler im Zuge einer komplexen Umstellung der Software auf mehrere Sprachen und Betriebssysteme unwissentlich verursacht wurde. Nach ausführlicher Prüfung gemeinsam mit dem Bayerischen Landesamt für Datenschutzaufsicht können wir aber bestätigen, dass diese Schwachstelle nicht vorher entdeckt bzw. ausgenutzt wurde, sondern ausschließlich von den Forschern genutzt wurde, um die Schwachstelle zu melden. Es sind also zu keiner Zeit Kundendaten betroffen gewesen bzw. für schädliche Zwecke verwendet worden.
Was bedeutet das für unseren Kunden?
Es besteht kein Handlungsbedarf von Seiten unserer Kunden. Es wurden keine Kundendaten kompromittiert oder der Öffentlichkeit zugänglich gemacht, wie die Prüfung mit den Datenschutzbehörden ergab.
Was bedeutet das für uns?
Die Sicherheit der Daten unserer Kunden hat für uns oberste Priorität. So ist der gesamte Übertragungsprozess SSL-Verschlüsselt und die Daten werden verschlüsselt auf unseren Servern gespeichert. Außerdem lassen wir durch regelmäßige Penetrationstests von externen Sicherheitsforschern unsere Strukturen testen. Dennoch ist es in diesem Fall zu einem menschlichen Fehler gekommen, den wir sofort korrigiert haben, nachdem er uns bekannt wurde.
Um eine solche Fehlerquelle in Zukunft zu vermeiden, haben wir außerdem zusätzliche Prüfschleifen für sicherheitskritische Codes eingeführt.
Dadurch heben wir unserer Sicherheitsniveau noch weiter an, damit du dir weiterhin keine Sorgen um deine Daten machen musst.
Und zu guter Letzt:
Wir möchten an uns an dieser Stelle bei den Sicherheitsforschern, dem bayerischen LDA und dem BSI bedanken, die uns auf diese Sicherheitslücke aufmerksam gemacht haben und sie gemeinsam mit uns analysiert haben. So konnten wir sicherstellen, dass die Daten unserer Kunden sicher sind. Wir danken auch unseren Kunden für ihr Vertrauen und wünschen weiterhin viel Freude beim Erinnerungen festhalten! Euer gesamtes zapptales Team
Quelle / Weiterlesen bei: Zerforschung | zapptales – vom Chat zum Buch zum Datenleck
Video und Artikelbild: Bit Projects News / Glomex
FAKE NEWS BEKÄMPFEN
Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!
Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️
Mimikama-Webshop
Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.
Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.
Link: Mimikamas WhatsApp-Kanal
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)
Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum
INSERT_STEADY_CHECKOUT_HERE
Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama
Mehr von Mimikama
Mimikama Workshops & Vorträge: Stark gegen Fake News!
Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.