Datenleck in Kita-App "stay informed"

Ein anonymer Hinweisgeber wies c't (Heise-verlag) auf ein massives Datenleck hin, welches verifiziert werden konnte: Auf einem frei zugänglichen Webserver speicherte das Unternehmen große Mengen an Dateien, die zumindest teilweise von Nutzern der Stay-Informed-App stammten.

Der Server war über das Klartext-Protokoll HTTP erreichbar. Er lieferte direkt ein "Directory Listing" seines Inhalts. Directory Listing ist eine Funktion, die aus den Anfangszeiten des Internet stammt und im Webserver Apache noch immer eingebaut ist – und die immer wieder für Meldungen wie diese gesorgt hat. Sie gehört in den allermeisten Fällen deaktiviert, denn liegen auf einem Server Dateien, die nicht für die Öffentlichkeit bestimmt sind, offenbart Directory Listing sie gnadenlos. Das eigentliche Problem im konkreten Fall ist aber der fehlende Zugriffsschutz auf die Dateien.

Quelle: https://www.heise.de/