Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.
Code24 ist ein Dienst, der die Rückgabe verlorener Gegenstände ermöglichen soll. Gegenstände müssen mit einem individuellen Code markiert werden. Wird ein markierter Gegenstand gefunden, kann die Eigentümerin per SMS oder E-Mail benachrichtigt werden.
Das funktioniert aber nur, wenn rechtzeitig bezahlt wird, denn bezahlt wird dieser Dienst für ein oder mehrere Jahre im Voraus. Ist die Laufzeit abgelaufen, können (oder wollen) Fundmeldungen nicht mehr weitergeleitet werden.
Seit mehr als drei Jahren liegt bei Code24 eine env-Datei mit Umgebungsvariablen herum. Das Leck wurde mehrfach gemeldet, auch beim Thüringischen Datenschutz. Seither wurden die Zugangsdaten wenigstens einmal rotiert. Die env-Datei liegt aber weiterhin herum und mit älteren Zugangsdaten kann auch noch immer auf eine Datenbank mit Codes und Daten von Kund*innen zugegriffen werden.