Sicherheitslücke aufgedeckt: Tausende WhatsApp-Nachrichten ungeschützt im Netz

Tom Wannenmacher, 15. Dezember 2021
Sicherheitslücke aufgedeckt: Tausende WhatsApp-Nachrichten ungeschützt im Netz
Sicherheitslücke aufgedeckt: Tausende WhatsApp-Nachrichten ungeschützt im Netz

Die Sicherheitsexperten von zerforschung.org haben entdeckt, dass Tausende WhatsApp-Nachrichten mit insgesamt 21 Terabyte Daten aus Chats inklusive Fotos und Videos komplett ungeschützt im Netz lagen.

Weihnachtszeit ist Geschenkezeit, natürlich auch in diesem Jahr. Viele suchen verzweifelt nach schönen, möglichst originellen Geschenken, auch in unserem Freundeskreis. Von »Ihr Name auf einem Reiskorn« bis »Deine schönsten Urlaubsfotos als Fotobuch« bleibt kein Wunsch unerfüllt. Auf der Jagd nach dem besten Geschenk sind Freund*innen von uns auf zapptales gestoßen. Der Dienst verspricht, individuelle Bücher drucken zu lassen, ungefähr so wie Fotobücher – nur mit privaten Chatverläufen. Moment… private Chats auf fremde Server laden, um sie drucken zu lassen? Da hören wir die Glöckchen läuten. Aber keine Weihnachtsglöckchen, sondern Alarmglocken. Leider stellte sich heraus: Zu Recht!


Stellungnahme von zapptales


Wir haben eine Sicherheitslücke geschlossen! In diesem Blogartikel möchten wir unseren Kunden eine gute und eine schlechte Nachricht mitteilen.

Wie so üblich, beginnen wir mit der schlechten Nachricht: Ende September 2021 haben wir sowohl vom Bayerischen Landesamt für Datenschutz als auch vom Bundesministerium für Sicherheit in der Informationstechnik den Hinweis einer Gruppe von Sicherheitsforschern erhalten, der uns darauf aufmerksam gemacht hat, dass es eine Sicherheitslücke in der damals aktuellen Version 1.5.1 (Release am 6.10.2020) der Desktop-Software gab. Anhand dieser Schwachstelle wäre es theoretisch möglich gewesen, auf private Daten unserer Kunden zuzugreifen.

Nun greift aber glücklicherweise die gute Nachricht: Tatsächlich waren keine Kundendaten betroffen und die Sicherheitslücke wurde sofort von uns behoben. Es besteht also für unsere Kunden kein Anlass zur Sorge.

Und nun die Details:

Wir wurden am 21. September bzw. 22. September 2021 vom Bayerischen Landesamt für Datenschutzaufsicht und dem Bundesministerium für Sicherheit in der Informationstechnik auf diese Sicherheitslücke aufmerksam gemacht und haben sofort reagiert – Datenschutz steht schließlich auch für uns an oberster Stelle. Im ersten Schritt haben wir den Zugriff auf die Daten sofort gesperrt und im zweiten Schritt (am 23. September 2021) eine neue Version der Software released, die die fehlerhaften Dateien, die den Zugriff ermöglicht haben, nicht mehr enthielt. Mit diesen Maßnahmen war und ist ein potenzieller Zugriff auf Kundendaten nicht mehr möglich.

Außerdem haben wir sofort eine detaillierte Analyse bei einem IT-Dienstleister in Auftrag gegeben. Diese hat ergeben, dass die der Fehler im Zuge einer komplexen Umstellung der Software auf mehrere Sprachen und Betriebssysteme unwissentlich verursacht wurde. Nach ausführlicher Prüfung gemeinsam mit dem Bayerischen Landesamt für Datenschutzaufsicht können wir aber bestätigen, dass diese Schwachstelle nicht vorher entdeckt bzw. ausgenutzt wurde, sondern ausschließlich von den Forschern genutzt wurde, um die Schwachstelle zu melden. Es sind also zu keiner Zeit Kundendaten betroffen gewesen bzw. für schädliche Zwecke verwendet worden.

Was bedeutet das für unseren Kunden?

Es besteht kein Handlungsbedarf von Seiten unserer Kunden. Es wurden keine Kundendaten kompromittiert oder der Öffentlichkeit zugänglich gemacht, wie die Prüfung mit den Datenschutzbehörden ergab.

Was bedeutet das für uns?

Die Sicherheit der Daten unserer Kunden hat für uns oberste Priorität. So ist der gesamte Übertragungsprozess SSL-Verschlüsselt und die Daten werden verschlüsselt auf unseren Servern gespeichert. Außerdem lassen wir durch regelmäßige Penetrationstests von externen Sicherheitsforschern unsere Strukturen testen. Dennoch ist es in diesem Fall zu einem menschlichen Fehler gekommen, den wir sofort korrigiert haben, nachdem er uns bekannt wurde.

Um eine solche Fehlerquelle in Zukunft zu vermeiden, haben wir außerdem zusätzliche Prüfschleifen für sicherheitskritische Codes eingeführt.

Dadurch heben wir unserer Sicherheitsniveau noch weiter an, damit du dir weiterhin keine Sorgen um deine Daten machen musst.

Und zu guter Letzt:

Wir möchten an uns an dieser Stelle bei den Sicherheitsforschern, dem bayerischen LDA und dem BSI bedanken, die uns auf diese Sicherheitslücke aufmerksam gemacht haben und sie gemeinsam mit uns analysiert haben. So konnten wir sicherstellen, dass die Daten unserer Kunden sicher sind. Wir danken auch unseren Kunden für ihr Vertrauen und wünschen weiterhin viel Freude beim Erinnerungen festhalten! Euer gesamtes zapptales Team


Quelle / Weiterlesen bei: Zerforschung | zapptales – vom Chat zum Buch zum Datenleck

Video und Artikelbild: Bit Projects News / Glomex


Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel