War nicht schwer: Symfony Profiler bei Advocado

Vor ein paar Wochen veröffentlichte der CCC einen Hinweis auf ein inzwischen geschlossenes Datenleck bei der Legal-Tech-Plattform Advocado. Der Spiegel (Paywall) und Golem.de berichteten darüber.

Advocado erklärte gegenüber dem Spiegel, mehrere Sicherheitsmechanismen seien umgangen worden, dafür sei ein „hohes Maß an Fachwissen“ und erheblicher Zeitaufwand nötig gewesen.

Die Wahrheit ist: Hier wurde kein komplizierter Hack ausgeführt. Die Sicherheitslücke beruhte auf einer einfachen Fehlkonfiguration: Ein Symfony-Profiler war öffentlich zugänglich und zeigte diverse Zugangsdaten im Klartext.

„War nicht schwer: Symfony Profiler bei Advocado“ weiterlesen

Verhaltensüberwachung bei der BVG

Nach der Hamburger Hochbahn und der Bremer BSAG plant nun auch die Berliner BVG ihre Fahrgäste intensiver zu überwachen. Die Maßnahme soll das Sicherheitsgefühl erhöhen. Anders als vielleicht erwartet ist jedoch nicht geplant auf die gelegentlich gewalttätigen Kontrolleure zu verzichten. Stattdessen setzt die BVG ebenfalls auf Verhaltensüberwachung.

Insgesamt sollen an 20 Stationen Kameras zur Bewertung von Verhalten in weniger öffentlich zugänglichen Bereichen eingesetzt werden. 13 Stationen wurden bereits ausgestattet.

Am Kottbusser Tor soll das Verhalten aller Fahrgäste erfasst und bewertet werden. Welche Verhaltensweisen dabei als unerwünscht gelten, ist ‒ wie auch in den anderen Städten ‒ bislang nicht bekannt.

When using the maps, content is loaded from third-party servers. If you agree to this, a cookie will be set and this notice will be hidden. If not, no maps will be displayed.

Borussia Dort­mund testete Gesichts­er­ken­nung für Zutrittsmanagement

Der Fußballverein testete 2023 ein System, mit dem das Spieltagspersonal, etwa 1500 Personen, beim Einlass per Gesichtserkennung kontrolliert wird. Dies soll je Prüfvorgang 5-10 Sekunden sparen. Einmalig soll dies einen fünstelligen Betrag kosten sowie weitere 2000 EUR monatlich.

Die Datenschutzbehörde in NRW hatte keine größeren Einwände und bemängelte lediglich die lange Speicherdauer der Bilder.

Verhaltensüberwachung auf Berliner Straßen

Nach Mannheim, Hamburg und Bremen plant nun auch Berlin automatisierte Verhaltennsüberwachung im öffentlichen Raum. Knapp 6 Millionen Euro möchte die Stadt dafür ausgeben.

Wie auch in den anderen Städten ist in Berlin völlig unklar, welches Verhalten künftig als „auffällig“ eingestuft werden soll. Dennoch bitte angepasst und unauffällig verhalten.

Verhaltensüberwachung in Bremer Trams

Nach der Hochbahn möchte auch die BSAG Verhalten überwachen. In Straßenbahnen wird das System AI Watch der Firma Just Add AI bereits seit April 2025 getestet. Informiert wurde die Öffentlichkeit erst heute. Bis Ende 2026 soll das Verhalten der Passagiere in einem Drittel der Bahnen überwacht werden.

Das System wurde mit gestellten Szenen trainiert. Dieser Ansatz hat in Hamburg zu miserablen Ergebnissen geführt. Pro Bahn kostet der Spaß etwa 10.000 EUR. Finanziert wird dies auch durch das Förderprogramm Digitalisierung kommunaler Verkehrssysteme vom Bundesverkehrsministerium.

Parkraumüberwachung in Hamburg

Wie schon Heidelberg und Berlin wird Hamburg Kamera-Fahrzeuge einsetzen, um Kennzeichen geparkter Fahrzeuge mit einer zentralen Datenbank abzugleichen.

Anjes Tjarks meint, dass der Datenschutz vollständig gewährleistet sei. Auch der Datenschutzbeauftragte hatte keine Einwände. Das vergleichbare Projekt in Berlin wurde 2025 wegen fehlender Rechtsgrundlage vorerst auf Eis gelegt.

Behördendomains

Um Transparenz zu fördern, veröffentlichen FragDenStaat und Tim Philipp Schäfers mehr als 2.000 Behörden-Domains. Rene und ich ergänzen diese Liste um weitere 50.000 Domains und Subdomains, einschließlich über 100 zur Zeit nicht registrierter Domains. 20 Domains, beispielsweise bundescriminalamt.de, wurden heute registriert. Die Domains stammen aus diversen Quellen und waren oder sind dem Bund zuzuordnen.

53.654 Bundes-Domains und Bundes-Subdomains

adele-esf.de
altersvorsorgemachtschule.de
arb-5.de
arbeitenbis67.de
ba-reform.de
bildungspaket-bmas.de
bitvlotse.de
briefing4pilot.de
bundescriminalamt.de
bundestag-magazin.de
bundestag-online.de
bundestag-und-schule.de
xn--einsatzfrarbeit-6vb.de
inqa-bestellservice.de
jugendinarbeit.de
ombudsrad.de
vereintaktiv.de
w3-indikatoren.de
wiewerdenwirarbeiten.de
zehnte-ddr-volkskammer.de

60jahresozialstaat.de
xn--allianz-fr-arbeitskrfte-f8b20d.de
xn--allianz-fr-fachkrfte-rzb33c.de
allianz-fuer-arbeitskraefte.de
allianz-fuer-fachkraefte.de
altersvorsorgemachtschule.com
altersvorsorgemachtschule.net
altersvorsorgemachtschule.org
arbeit-4-null.de
arbeit-4-punkt-null.de
arbeiten-4-0.de
arbeiten4null.de
arbeiten4punktnull.de
arbeitenvierpunktnull.de
arbeit-psyche.de
arbeitvierpunktnull.de
ausbildungsportal.org
beschaeftigtebeteiligen.de
beschaeftigung-aelterer.de
xn--beschftigtebeteiligen-91b.de
xn--beschftigung-gestalten-44b.de
bmas-alleinerziehende.de
briefing4aviation.com
briefing4aviation.de
briefing4pilot.com
bspc2007.de
chancen-mit-erfahrung.de
csringermany.de
csrmadeingermany.de
das-bildungspaket.de
das-jobcenter.de
das-rentenreformpaket.de
deutschland-wird-inklusiv.de
einsatzfuerarbeit.de
eparlament.de
e-parliament.de
esf-foerderung.de
esf-programm.de
fachkraefte-allianz.de
xn--fachkrfte-allianz-vqb.de
xn--fachkrftewoche-bib.de
fondsheimkinder.de
fons-civitatis.de
xn--freinlebenswertesland-8hc.de
fuereinlebenswertesland.de
generationenarbeit.de
glasklar-bundestag.de
gp-habitat.de
gph-habitat.de
gute-arbeit-alleinerziehende.de
heimkinder-fonds.de
xn--initiative-fr-fachkraefte-qwc.de
xn--initiative-fr-fachkrfte-f8b50d.de
inqa-check.de
inqa-ddn.de
inqa-demografie.de
inqa-demographie.de
inqa-demographie-netzwerk.de
inqa-epoxibewertung.de
inqa-kmu.de
inqa-mittelstand.de
inqa-produktion.de
inqa-stress.de
job3punkt0.de
jobcenterservice.de
jobcentersuche.de
job-drei-null.de
jobdreipunktnull.de
jobsohnebarrieren.de
lebenslagen-in-deutschland.de
meinmicrocredit.com
meinmicrokredit.org
meinmikrocredit.com
meinmikrocredit.de
met4aviation.com
met4aviation.de
met4pilot.com
met4pilot.de
mindestlohn-gilt.de
mindestlohn-kommt.de
mindestlohn-wirkt.de
mitmischen.tv
mitneuemmut.de
monitoring-esf.de
netzwerk-alleinerziehende.de
neuekulturderarbeit.de
neues-jobcenter.de
ohnedichkeinwir.de
ombudsrat.net
ombudsrat.org
ostseeparlamentarierkonferenz2007.de
parlaments-profi.de
projekt-e-demokratie.de
projekt-persoenliches-budget.de
rentenreformpaket.de
selberhandeln.de
sgb2.com
sgb2-kennzahlen.de
sgb2.net
sgb2.org
sgb2-reform.de
sgbii.com
sgbii-kennzahlen.de
sgbii.net
sgbii.org
sgbzwei.com
sgbzwei.de
sgbzwei.net
sgbzwei.org
sozialpolitische-informationen.de
sozialwahl2011.de
the-unseen.org
uniohneabi.de
un-koordinierungsstelle.de
xn--vereint-fr-gemeinsame-bildung-tbd.de
xn--vereint-fr-gleiche-bildung-6zc.de
vereint-fuer-gemeinsame-bildung.de
vereint-fuer-gleiche-bildung.de
w3-wohlstandsindikatoren.de
was-ist-gute-arbeit.de
wdrei-indikatoren.de
wdrei-wohlstandsindikatoren.de
whochdrei-indikatoren.de
whochdrei-wohlstandsindikatoren.de
wiewollenwirarbeiten.de
yesweareopen.de

Leakvent 26: Fazit und Ausblick

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Das waren 25 Tage mit technisch langweiligen Datenlecks. Keine 0days, keine ausgefeilten Angriffe, nur versehentlich veröffentlichte Ordner, Dateien und Debug-Schnittstellen. Die Folgen dieser groben Schnitzer sind trotzdem bemerkenswert: Parteien, Unternehmen, Gerichte und Behörden verloren Daten oder gaben Zugänge zu internen Portalen frei.

Ein Highlight waren Lycamobile und Variatel, die genau wie Numa zeigen, dass das Hochladen von Ausweis-Fotos keine gute Idee ist. Aber auch mit dem Zugang zu den Entscheidungsdatenbanken von Bundesgerichtshof und Bundespatentgericht hätte man schönen Unfug treiben können. Ärgerlich sind die vielen Webshops (1, 2, 3, 4, 5, 6), bei denen man mit minimalem Aufwand an Daten von Kund*innen kam. Halbwegs interessant waren die Einblicke in die Überwachungsinfrastruktur von Voxsmart und Team Cymru.

Ein Datenleck fehlt und wird bald nachgereicht ‒ wir möchten vor Veröffentlichung noch etwas recherchieren.

Die Datenlecks im Überblick

  1. Ferrari Academy (env, git)
  2. Die Partei (Symfony Profiler)
  3. Emma Matratze (git)
  4. Plenar TV Niedersachsen (env, phpmyadmin)
  5. Vevor (Elasticsearch)
  6. Der Bundesgerichtshof (sqlinj)
  7. Vino24, Rindchens Weinkontor und Staatsweingut Freiburg (Symfony Profiler)
  8. LandesSportBund Sachsen-Anhalt (git)
  9. Acardo (Coupies, Couponplatz, Scondoo) (mysql)
  10. Voxsmart (Elasticsearch)
  11. medbill (env, git)
  12. Prisa (git)
  13. Fonds Finanz (git)
  14. Stova / Eventscloud (idor)
  15. WhiteBIT (Elasticsearch)
  16. Saatchi & Saatchi (git, phpmyadmin)
  17. Europäischer Datenschutzbeauftragter (webshell)
  18. Team Cymru (Elasticsearch)
  19. GlobalLogic / Meelogic (git)
  20. Junge Liberale SH (git)
  21. Philipp Plein (Symfony Profiler)
  22. Code24 / PiNkey (env)
  23. Roos Consult / Hamburgs beste Arbeitgeber (git, phpmyadmin)
  24. Telco-Dinge
    • Deutsche Telekom (env, git)
    • Lycamobile (git)
    • Variatel (env, git)
    • TKD Solutions (git)
    • Handystar / Mobilezone (git)
    • esim.me / TelcoVillage (git)
    • WEtell / amiva (Symfony Profiler)
    • ReiseSIM / TravelFon (git)
  25. Berlin (env, git, Symfony Profiler)

Leakvent 25: Berlin

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Auf einem Server unter █.berlin.boanet.de war 2024 ein Symfony Profiler offen zugänglich erreichbar. Dort lagen wie üblich Konfigurationsdaten sowie Zugangsdaten für ein Ticketsystem.

Über das Ticketsystem konnten u.a. gefunden werden:

  • EALS-Datensätze mit personenbezogenen Daten (Name, Adresse, E-Mail-Adresse und Handynummer). EALS ist ein Elektronisches Anmelde- und Leitsystem der der Berliner Senatsverwaltung für Bildung, Jugend und Wissenschaft. Es soll Anmeldeprozesse Berliner Schulen vereinfachen und Kommunikation zentralisieren.
  • Anmeldungen zur “WiKo” (Name, Telefonnummer, Geburtsdatum, Geburtsland und Staatsangehörigkeit, Sprachstand). WiKo ist die Berliner Willkommensklassendatenbank
  • Nextcloud-Shares mit Zertifikaten und zugehörigen private keys (https://cloud.vcat.de/index.php/s/█)
  • Weitere Zugangsdaten

Außerdem waren leakende env-Dateien und git-Ordner aufgefallen. Diese sind aber noch nicht alle entfernt worden, daher fehlen hier Details.