calendar
« Jun12345678910111213141516171819202122232425262728293031 Aug »

Gravierende Sicherheitslücke: Monatelang Kundendaten von Putzvermittler Helpling abrufbar

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Nicht sauber programmiert: Eine Sicherheitslücke öffnete Zugriff auf die Rechnungen der Kunden des Putzvermittlers. Foto: CC-BY 2.0  aqua.mech

Nicht sauber programmiert: Eine Sicherheitslücke öffnete Zugriff auf die Rechnungen der Kunden des Putzvermittlers. Foto: CC-BY 2.0 aqua.mech

Das Putzportal Helpling.de hatte offenbar seit Februar 2016 eine gravierende Sicherheitslücke im System mittels derer jede eingeloggte Person nicht nur die eigenen Rechnungen, sondern auch die Rechnungen anderer Kunden abrufen konnte. Helpling.de ist ein Unternehmen der Samwer-Brüder und vermittelt Reinigungskräfte gegen Provision an Privatleute.

Rechnungen in diesem und mindestens zwei anderen Layouts standen offen im Netz.

Rechnungen in diesem und mindestens zwei anderen Layouts standen offen im Netz.

Kinderleicht die Rechnungen anderer Kunden abrufen

Um die Lücke auszunutzen, musste man nur als Kunde eingeloggt sein. Ist man auf der Plattform eingeloggt, kann man seine Rechnungen einsehen. Diese sind mit einem Link der folgenden Logik abrufbar: https://www.helpling.de/invoices/XXXXXX. Erhöhte man dann einfach in der Adresszeile des Browsers die fortlaufende Nummer hinter der eigenen Rechnung, konnte man Rechnungen anderer Kunden sehen. Mit dieser sehr einfachen Methode, die keinerlei Programmierkenntnisse oder besondere Skills erfordert, hatte man Zugriff auf alle in diesem System im PDF-Format hinterlegten Rechnungen.

Wir konnten Rechnungen ausfindig machen von Mai 2014 bis Juli 2016. Die fortlaufenden Nummern hatten nach unseren Recherchen einen Zahlenbereich von etwa 800.000. In unserem stichprobenartigen Verfahren funktionierte etwa jede zweite Nummer, was auf offen im Netz stehende Rechnungen im mindestens niedrigen sechsstelligen Bereich schließen lässt. Mittels eines Scriptes wäre auch das automatische Auslesen und Herunterladen der Rechnungen möglich gewesen, auf das wir bei der Recherche bewusst verzichtet haben.

Wir haben probeweise und für Dokumentationszwecke dutzende Rechnungen unterschiedlicher Kunden aus dem gesamten Bundesgebiet für den Zeitraum Mai 2014 bis Juli 2016 heruntergeladen.

Rechnungen aus dem Zeitraum von Mai 2014 bis Juli 2016 abrufbar

Die Rechnungen enthalten:

  • Anschrift des Kunden, bei dem geputzt wird
  • oftmals Stockwerk und/oder Wohnung des Kunden
  • Kundennummer
  • Rechnungsnummer
  • teilweise Frequenz, in der geputzt wird (einmalig, wöchentlich, usw.)
  • Anzahl der Stunden und Kosten
  • Anschrift der Reinigungskraft
  • teilweise Steuer-ID der Reinigungskraft

Mit den so einfach abzugreifenden Daten sind verschiedene Missbrauchsszenarien möglich. Einerseits können alle Kunden und alle Putzkräfte des Portals sowie ihre Beziehungen untereinander rekonstruiert werden. Mit den Daten ist zudem Social Engineering möglich. Kriminelle könnten sich als Putzkräfte ausgeben und so z.B. an die Wohnungsschlüssel herankommen.

Nachdem wir die Sicherheitslücke überprüft hatten, haben wir die Datenschutzbeauftragte des Landes Berlin und dann das Unternehmen Helpling informiert. Helpling war zuerst nur per Mail erreichbar. Obwohl wir keine Details zur Sicherheitslücke in die Mail schrieben, schloss Helpling die Lücke innerhalb weniger Stunden ohne sich zurückzumelden.

Sicherheitslücke bestand mehrere Monate

Gegenüber netzpolitik.org sagt Philip Huffmann, Mitgründer von Helpling:

Vor wenigen Monaten haben wir unsere Technologie auf eine komplett neue Plattform umgestellt, die u.a. ein neues Rechnungssystem beinhaltet. Diese Umstellung hat mit hoher Wahrscheinlichkeit den unverschlüsselten Zugang zu den pdf-Rechnungen ermöglicht, sofern die URL dahingehend manuell geändert wurde.

Nach dieser Aussage ist es wahrscheinlich, dass die Sicherheitslücke seit Februar 2016 bestand. Das war der Zeitpunkt als Helpling auf die technologische Plattform seines Tochterunternehmens Hassle wechselte. Bekannt sei dem Unternehmen die Sicherheitslücke allerdings erst in dieser Woche geworden, sagt Huffmann.

Änderung der URL sei unlauteres Vorgehen

Eine interessante Lesart der Datenlücke findet sich zudem im Statement des Unternehmens. Dort heißt es:

Darüber hinaus war die Datenlücke nicht öffentlich zugänglich, sondern wurde erst durch unlauteres Vorgehen, in diesem Fall durch die Änderung der URL, ersichtlich.

Helpling möchte seine Kunden über die Sicherheitslücke zeitnah informieren, sagt die Pressesprecherin gegenüber netzpolitik.org.

Den Hinweis auf die Datenschutzlücke haben wir von unserem Leser Paul Eppner gesteckt bekommen. Paul ist Entwickler hinter der freien Mitfahrzentrale bessermitfahren.de.


Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende.

von Datenschutz – netzpolitik.org, gepostet am Freitag, 8. Juli 2016 um 17:57
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: