Leakvent 26: Fazit und Ausblick

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Das waren 25 Tage mit technisch langweiligen Datenlecks. Keine 0days, keine ausgefeilten Angriffe, nur versehentlich veröffentlichte Ordner, Dateien und Debug-Schnittstellen. Die Folgen dieser groben Schnitzer sind trotzdem bemerkenswert: Parteien, Unternehmen, Gerichte und Behörden verloren Daten oder gaben Zugänge zu internen Portalen frei.

Ein Highlight waren Lycamobile und Variatel, die genau wie Numa zeigen, dass das Hochladen von Ausweis-Fotos keine gute Idee ist. Aber auch mit dem Zugang zu den Entscheidungsdatenbanken von Bundesgerichtshof und Bundespatentgericht hätte man schönen Unfug treiben können. Ärgerlich sind die vielen Webshops (1, 2, 3, 4, 5, 6), bei denen man mit minimalem Aufwand an Daten von Kund*innen kam. Halbwegs interessant waren die Einblicke in die Überwachungsinfrastruktur von Voxsmart und Team Cymru.

Ein Datenleck fehlt und wird bald nachgereicht ‒ wir möchten vor Veröffentlichung noch etwas recherchieren.

Die Datenlecks im Überblick

  1. Ferrari Academy (env, git)
  2. Die Partei (Symfony Profiler)
  3. Emma Matratze (git)
  4. Plenar TV Niedersachsen (env, phpmyadmin)
  5. Vevor (Elasticsearch)
  6. Der Bundesgerichtshof (sqlinj)
  7. Vino24, Rindchens Weinkontor und Staatsweingut Freiburg (Symfony Profiler)
  8. LandesSportBund Sachsen-Anhalt (git)
  9. Acardo (Coupies, Couponplatz, Scondoo) (mysql)
  10. Voxsmart (Elasticsearch)
  11. medbill (env, git)
  12. Prisa (git)
  13. Fonds Finanz (git)
  14. Stova / Eventscloud (idor)
  15. WhiteBIT (Elasticsearch)
  16. Saatchi & Saatchi (git, phpmyadmin)
  17. Europäischer Datenschutzbeauftragter (webshell)
  18. Team Cymru (Elasticsearch)
  19. GlobalLogic / Meelogic (git)
  20. Junge Liberale SH (git)
  21. Philipp Plein (Symfony Profiler)
  22. Code24 / PiNkey (env)
  23. Roos Consult / Hamburgs beste Arbeitgeber (git, phpmyadmin)
  24. Telco-Dinge
    • Deutsche Telekom (env, git)
    • Lycamobile (git)
    • Variatel (env, git)
    • TKD Solutions (git)
    • Handystar / Mobilezone (git)
    • esim.me / TelcoVillage (git)
    • WEtell / amiva (Symfony Profiler)
    • ReiseSIM / TravelFon (git)
  25. Berlin (env, git, Symfony Profiler)