Autor: kantorkel

Leakvent 14: Stova / Eventscloud

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Auf der Event-Management-Plattform von Stova kann man IDs von Events hochzählen:

Wenn man dies tut, findet man viele langweilige und einige interessante Events, z.B.:

  • den Iftar-Empfang einer Botschaft,
  • einen Segelnachmittag,
  • den CFO Summit einer Bank oder ein Hedge Fund Frühstück,
  • ein AI-inspiriertes Frühstück,
  • einen Workshop zu Kriminalität und Terrorismus, organisiert bei der Europäischen Kommission,
  • Offsite events in Nizza, Monaco oder auf Madeira,
  • Informelle Treffen der EU-Verteidigungsminister*innen oder der Minister*innen für Telekommunikation,
  • andere interne Veranstaltungen von Frontex,
  • das Tannenbaumschlagen einer Privatbank.

Manche der Events sollen sicherlich öffentlich sein, andere richten sich an einen geschlossenen Personenkreis, etwa an bestimmte Kund*innen, ausgewählte Mitarbeiter*innen oder Delegationen bestimmter Ministerien.

Eigentlich hatte ich vor, einen Adventskalender mit Berichten von Besuchen verschiedener Veranstaltungen zu füllen. Aber leider ist meine Anmeldung bei einem Event zu früh aufgefallen. Der CISO des Unternehmens rief mich an und bat darum, nicht aufzutauchen. Daraufhin habe ich mich bei vielen Events wieder abgemeldet und Stova informiert.

Stova hat nicht auf meine Meldung geantwortet. Viel Spaß beim Hochzählen von IDs.

Leakvent 13: Fonds Finanz

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Gleich mehrere Datenlecks hatte die inzwischen nicht mehr erreichbare Plattform maklermovie.de der Fonds Finanz Maklerservice GmbH. Früher wurden dort Erklärvideos für Finanzprodukte veröffentlicht. Über die Datenlecks konnte auf Quellcode und Konfiguration sowie Daten von tausenden Nutzer*innen zugegriffen werden.

  1. Unter https://www.maklermovie.de/█.zip lag ein Archiv mit Quellcode und Konfigurationsdaten
  2. Die in diesem Archiv enthaltenen SQL-Zugangsdaten konnten unter https://www.maklermovie.de/phpmyadmin█/ genutzt werden, um auf die Datenbank zuzugreifen. In der Datenbank waren u.a. Namen, Adressen, Kontaktdaten und gehashte Passwörter von tausenden Nutzer*innen gespeichert.
  3. Im Quellcode stand an diversen Stellen das root-Passwort für den Server, der unter www.maklermovie.de zu erreichen war: sshpass -p "█"
  4. Im Quellcode waren auch Zugangsdaten für den E-Mail-Account service@… zu finden. Im Postfach lagen weitere Zugangsdaten für info@, service@, admin@, webmaster@.
  5. Diverse weitere Dateien mit Quellcode konnten vom Webserver heruntergeladen werden, bspw.: https://www.maklermovie.de/…/███.php.ol4. Auch diese Dateien enthielten z.T. sensible Informationen.
  6. Ein git-Repository gab ebenfalls Quellcode und sensible Informationen preis.

Nach meiner Meldung und einer rechtsgrundlageorientierten Rückfrage hatte ich dem Unternehmen noch einmal geantwortet, mich dann aber längere Zeit nicht weiter mit dem Leck befasst. Erst jetzt fällt mir auf, dass es laut LeakIX zumindest in Teilen noch fast zwei Jahre nach meiner Meldung im Mai 2022 Bestand hatte.

Screenshot von https://leakix.net/host/138.201.58.110/

Hinweis: Ich habe das Leck lediglich gemeldet. Konkret an die Sitzung des Ausschusses und deren Verlauf den Finder des Datenlecks und den Ablauf der Meldung kann ich mich nicht erinnern.

Leakvent 12: Prisa

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Ein git-Repository des Medienkonzerns Prisa (u.a. El Pais) lag offen zugänglich im Internet. Die config-Datei enthielt Zugangsdaten für gitlab.com, ein zweiter Faktor wurde nicht verlangt:

[core]
    repositoryformatversion = 0
    filemode = true
    bare = false
    logallrefupdates = true
[remote "origin"]
    fetch = +refs/heads/*:refs/remotes/origin/*
    url = https://███Prisa:██@gitlab.com/prisa/tecnologia/██/██.git
[branch "master"]
    remote = origin
    merge = refs/heads/master

Mit dem gitlab-Account konnte auf 478 Projekte zugegriffen werden, auch auf Projekte, die Teile einer Pipeline sind. Eine kleine Auswahl:

prisa-corporacion/portal-prisa.com/prisa.com_████
prisanoticias/el-pais/estaticos-el-pais/████.elpais.com
prisa/prisabs/portal-prisabs.com/prisabs.com_████
prisaradio/los40/los40.████
prisaradio/████.podiumpodcast.com
prisa/tecnologia/infraestructura/████.elpais.com/pipeline_jenkins_static███

Leakvent 11: medbill

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Medbill ist eine Abrechnungs-Plattform für Ärzt*innen.

Der Schutz Ihrer Daten hat für uns oberste Priorität.
Wir setzen modernste Sicherheitstechnologien ein,
um Ihre Informationen bestmöglich zu schützen
und sicher aufzubewahren.

https://medbill.de/

Konfigurationsdaten und Quellcode der Plattform waren 2022 offen zugänglich. Die Daten ermöglichten Zugang zu einem SuperAdmin-Account von https://app.medbill.de/ und den Zugriff auf ca. 40.000 Rechnungen. Aus den Rechnungen gehen Namen und Adressen von Patient*innen sowie abgerechnete Leistungen und Diagnosen hervor.

Leakvent 10: Voxsmart

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Voxsmart hat 2022 mehr als 13 TB Daten ins Internet gepustet, nicht ausschließlich langweilige Telemetriedaten:

We capture and store mobile communications to give you the most sophisticated mobile surveillance capability in the world. (PlayStore Beschreibung)

Screenshot von https://www.voxsmart.com/communication-surveillance

In den Logs tauchen mehr oder weniger bekannte Namen auf: bankofamerica, blackheathcapital, burnhamsterling, clarksons, nedbank, softbank, smithandwilliamson. Auch Coinbase teilt(e?) seine Kundengespräche mit Voxsmart:

{ id=224436, message="HELP" }
{ id=224437, message="i have been hackewd" }
{ id=224438, message="someone is trying to take 521,000 pending off my coinebae pro account" }
{ id=224439, message="plese help" }
{ id=224440, message="The line you gave me was wrong" }
{ id=224441, message="please stop that transaction!" }
{ id=224442, message="hey ████████, moment" }
{ id=224443, message="pinging security" }
{ id=224444, message="i followed everything custody told me" }
{ id=224445, message="the line that gave me was hacked or something" }
{ id=224446, message="this is a transfer from Custody or Exchange?" }
{ id=224447, message="what do you mean the line that you were given?" }
{ id=224448, message="no its someone trying to pull it off my pro exchange" }
{ id=224449, message="its not me" }
{ id=224451, message="I had to do a passowrd reset you guys were hlepng me" }
{ id=224453, message="your chat feature you guys told me to follow on coinsbase support was hacked" }
{ id=224454, message="can you send screenshots" }
{ id=224455, message="i am so freaking out" }
Indices: 846, document count: 54017329277, size: 13.2 TB
cloudtrail-2022.01.17 with 752429 documents (513.7 MB)
cloudtrail-2022.04.19 with 1299137 documents (811.5 MB)
cloudtrail-2022.04.20 with 759529 documents (532.2 MB)
deadletter-prod-broker-2022.01.17 with 8029 documents (11.9 MB)
eks-2022.01.17 with 832214 documents (156.2 MB)
eks-2022.04.19 with 742248 documents (261.9 MB)
eks-2022.04.20 with 403275 documents (147.3 MB)
logs-2022.01.17 with 393864826 documents (102.5 GB)
logs-2022.04.19 with 674281379 documents (160.4 GB)
logs-2022.04.20 with 398431321 documents (97.4 GB)
sandbox-2022.01.17 with 3737345 documents (1.6 GB)
sandbox-2022.04.19 with 15735864 documents (9.0 GB)
sandbox-2022.04.20 with 8162190 documents (4.9 GB)
tcap-logs-2022.01.17 with 5791457 documents (1.2 GB)
tcap-logs-2022.04.19 with 43087656 documents (11.2 GB)
tcap-logs-2022.04.20 with 27793404 documents (10.5 GB)
voxsmart-vpc-flow-logs with 13322938 documents (2.5 GB)
...

Leakvent 9: Acardo (Coupies, Couponplatz, Scondoo)

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Die acardo group AG betrieb 2022 einen offen zugänglichen mysql-Server. Ohne sich auszuweisen, konnte jede nach belieben auf 670GB interessante Daten zugreifen. Betroffen waren mehr als 500.000 Personen.

Acardo ist das Unternehmen hinter verschiedenen Gutschein-, Cashback- und anderen Tracking-Möglichkeiten. Die Plattformen scondoo.de und couponplatz.de gehören zu dem Unternehmen, coupies.de wurde 2022 integriert. Die Firma kümmert sich auch um das sog. Check-out Couponing von Kaufland, EDEKA, Hit, Müller und Budni.

coupies-production.userapi_user with 506338 records
couponplatz-production.userapi_user with 320325 records
migration_coupies_api.userapi_user with 532815 records
migration_scondoo_api.userapi_user with 646679 records
scondoo-production.userapi_user with 641241 records

Damit lässt sich offenbar Geld verdienen. Im September 2025 wurde acardo für 24,5 Mio EUR verkauft.

Leakvent 8: LandesSportBund Sachsen-Anhalt

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Unter https://ivy.lsb-sachsen-anhalt.de/.git/ lag 2023 ein git-Repository. Dieses enthielt neben Quellcode auch Konfigurationsdaten, einschließlich gültiger Zugangsdaten für den mysql-Server, der unter der gleichen Domain erreichbar war. Auf diesem Server waren Daten von mehr als 130.000 Personen einsehbar.

Die Datenbank-Zugangsdaten konnten auch unter https://ivy.lsb-sachsen-anhalt.de/configdata/configdata.xml gefunden werden:

<project name="ivy5serverdev">
<database-connections>
<connection name="ivy5dev">
<hostname>localhost:3306</hostname>
<port>3306</port>
<database>ivy5dev</database>
<user>████████████0001</user>
<password>████████████████</password>
<characterEncoding>utf8</characterEncoding>
<useUnicode>true</useUnicode>
<useSSL>false</useSSL>
</connection>
</database-connections>
...

Auf dem Datenbank-Server lagen diverse Tabellen für verschiedene Jahre, bis zurück ins Jahr 2008:

TABLE_SCHEMA TABLE_NAME TABLE_ROWS
archiv2008_1501 mitglieder_personen 6130
...
ivy_dev2017_development mitglieder_personen 139369
ivy_dev2018 mitglieder_personen 132202
ivy_dev2019 mitglieder_personen 133035
xx_ivy_dev2016 mitglieder_personen 139475

Dabei konnten die folgenden Felder befüllt werden: vernr, sportartid, verbandsid, jahrgang, m, w, aenderung, personid, vernr, nachname, vorname, geburtsdatum, geschlecht, strasse, plz, ort, blz, kontonr, kontoinhaber, iban, bic, abbuchung, einzug, telefonvorw, telefon, mobilvorw, mobil, email, mitglied_seit, mitglied_bis.

Passwörter der IVY-Nutzenden wurden im Klartext gespeichert. Zum Glück steht die IVY-Datenbank heute nicht mehr zur Verfügung.

Screenshot von https://ivy.lsb-sachsen-anhalt.de/

Leakvent 7: Vino24, Rindchens Weinkontor und Staatsweingut Freiburg

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Gleich drei Mal waren 2023 Daten von Wein-Käufer*innen ziemlich offen zugänglich. Die Ursache war in jedem Fall ein Symfony Profiler. Über diesen können u.a. Zugangsdaten im Klartext sowie Konfigurationsdaten eingesehen werden.

Beim Staatsweingut Freiburg konnte man sich damit beim SQL-Server einloggen und auf Daten von etwa 9.400 Kund*innen zugreifen.

Bei Rindchens Weinkontor lagen die Zugangsdaten eines Administrators. Damit konnten in der Testumgebung Daten von etwa 50.000 und in der Produktivumgebung Daten von mehr als 60.000 Kund*innen eingesehen werden.

Bei Vino24 sieht es ähnlich aus, dort waren Daten von knapp 250.000 Kund*innen zugänglich.

Leakvent 6: Der Bundesgerichtshof

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Im Januar 2024 meldeten wir eine SQL Injection in den Entscheidungsdatenbanken von Bundesgerichtshof und Bundespatentgericht. Die Lücke wurde wahrscheinlich geschlossen, bestand aber im August 2025 wieder.

Ein Parameter des Login-Formulars (BGH, andere Gerichte analog) war anfällig für eine Time-based SQL Injection. Darüber konnte auf mehrere Datenbanken zugegriffen werden. Passwörter der Nutzer*innen wurden lediglich mit dem veralteten md5-Hashverfahren gehasht und konnten wiederhergestellt werden.

Damit konnte auf den internen Bereich der Entscheidungsdatenbanken zugegriffen werden, ohne die SQL Injection zu bemühen. So hätten Entscheidungen verändert, gelöscht oder auch neu erstellt werden können.

Außerdem erlaubt eine Funktion des Portals das Auflisten von Inhalten von server-seitigen Verzeichnissen, bspw. /etc/. Durch das Verändern von URL-Parametern konnte das Parsing von PDF-Dateien beeinflusst werden. Es wurde aber nicht versucht, eine Shell hochzuladen.

Leakvent 5: Vevor

Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.

Über viele Monate waren 2022 bei dem Baumarkt-Temu Vevor über die Zeit immer mehr und schließlich fast 800 Gigabyte Logs einsehbar. Ein Elasticsearch erlaubte unter wechselnden IP-Adressen bei AWS anonymen Zugang.

Indices: 309, document count: 1496535116, size: 797.9 GB
Found index goods-2022.11.10 with 37131622 documents (13.4 GB)
Found index risk-2022.11.08 with 579851 documents (216.2 MB)
Found index risk-2022.11.09 with 562293 documents (207.3 MB)
Found index goods-2022.11.11 with 40573566 documents (14.7 GB)
Found index goods-2022.11.12 with 37160357 documents (12.1 GB)
Found index goods-2022.11.13 with 34469876 documents (11.9 GB)
Found index risk-2022.11.07 with 598158 documents (224.6 MB)
Found index vevor-pc-2022.11.08 with 68842 documents (53.3 MB)
Found index vevor-pc-2022.11.07 with 78280 documents (60.3 MB)
Found index vevor-pc-2022.11.09 with 75443 documents (57.0 MB)
Found index .opendistro-reports-instances with 0 documents (208 B)
Found index data-gateway-lua-access-2022.11.05 with 4604008 documents (1.4 GB)
Found index email-marketing-2022.11.13 with 306537 documents (334.7 MB)
...

Einzelne Einträge zeigen bspw, wer was wohin bestellt hat.

[INFO]2022-07-1202:30:01.789[DubboServerHandler-10.20.29.145:20992-thread-6]INFOc.v.pay.channel.util.ApiCallUtils-[62ccdca8e4b01fd5208ea9e7]ApiCallUtil.callPaypalresponse:TOKEN=EC-0461416764794954C&
BILLINGAGREEMENTACCEPTEDSTATUS=0&
CHECKOUTSTATUS=PaymentActionNotInitiated&
TIMESTAMP=2022-07-12T02:30:01Z&
...
SHIPTONAME=##VORNAME## ##NACHNAME## &
SHIPTOSTREET=##STRASSE##&
SHIPTOSTREET2=##STRASSE##&
SHIPTOCITY=Hamburg&
SHIPTOSTATE=Hamburg&
SHIPTOZIP=21029&
SHIPTOCOUNTRYCODE=DE&
SHIPTOPHONENUM=*&
SHIPTOCOUNTRYNAME=Germany&
ADDRESSSTATUS=Confirmed&
CURRENCYCODE=EUR&
AMT=56.99&
...
L_NAME0=4L Wasser Destilliergerät Wasserfilter Wasserdestillier Innenteil aus Edelstahl&
...

Auch die Bayerische Datenschutzbehörde wurde informiert. Ob diese tätig wurde oder Betroffene von Vevor informiert wurden, ist unklar. Klar ist aber, dass auch andere die Daten gefunden haben: {"@timestamp": "2099-11-15T13:12:00", "message": "All indexs has been dropped. But we backup all indexs. The only method of recoveribing database is to pay 0.021 BTC. Transfer to this BTC address 14UCEfQG5vs7kZAbFrcZ7K4BCiEa48mdFu . You can buy bitcoin here, does not take much time to buy https://localbitcoins.com or https://buy.moonpay.io/ . After paying write to me in the mail with your DB IP: recmydata@onionmail.org and you will receive a link to download your database dump.\n"}