Anfang des Jahres wurde Corplife, eine Plattform für Mitarbeiterbenefits, auf ein Datenleck aufmerksam gemacht. Da sie nicht reagiert haben, hatte sich der Hinweisgeber an den Chaos Computer Club (CCC) gewandt. Die Daten waren bis Mitte Februar 2025 zugänglich, da die Lücke erst nach Meldung des CCC geschlossen wurde. Ob die Betroffenen informiert wurden, ist noch unklar. Eine diesbezügliche Anfrage von heise online an das Unternehmen ist noch unbeantwortet.
Die Plattform ist sowohl als Web- als auch als App-Version verfügbar. Darüber erhalten Mitarbeiter Zugang zu einem Marktplatz mit über 1500 regionalen und internationalen Marken in Bereichen wie Shopping, Sport, Reisen, Gastronomie und mehr. Neben klassischen Rabatten gibt es über Corplife auch digitale Essenszuschüsse, die steuerfrei und ohne Papierkram genutzt werden können. Firmen wie Siemens, Microsoft, IBM, Casio, Dyson und Rituals nutzen Corplife bereits. Seit seiner Gründung ist das Unternehmen Marktführer in Österreich und unter anderem auch nach Deutschland expandiert.
Offen zugänglich waren nach Hinweisen des CCC etwa 7800 pkpass-Dateien, CSV-Dateien mit rund 145.000 Namen, E-Mail-Adressen und Unternehmenszugehörigkeiten, dem Quellcode und ein Datenbank-Backup. Stichproben lassen vermuten, dass es sich nicht um reine Testdaten handelt. In einem 7 Gigabyte großem Datenbank-Backup, das online wegen aktivierter Directory Listings abrufbar war, zählten nach Angaben des CCC rund 165.000 Benutzerkonten inklusive Namen, E-Mail-Adressen, Anschrift, Unternehmenszugehörigkeit, Passworthash und zehntausende Bestellungen. In Teilen lässt sich das über einen archivierten Link nachvollziehen.
Laut Corplife habe es sich bei der Sicherheitslücke jedoch um einen Zugang zu internen Testservern gehandelt, die lediglich für Entwicklungszwecke genutzt würden und "keine live Daten enthalten". Das geht aus einer Stellungnahme des Unternehmens an die österreichische Datenschutzbehörde hervor. Nach Erhalt der Information habe das Unternehmen umgehend reagiert und die Sicherheitslücke geschlossen und weitere Maßnahmen ergriffen, wie "veraltete und nicht unbedingt notwendig Files und Ordner von dem Testserver vollständig entfernt".
Darüber hinaus informiert der CCC über mehrere Datenlecks. Demnach waren unter anderem Lieferdienste des Software-Unternehmens Tom & Poolee betroffen, die sich ein Backend teilten. Ein Login war ohne Passwort möglich. Durch Hochzählen der ID konnte man sich mit einem von rund 200.000 Kundenzugängen einloggen. Ähnliches war bei Rechnungsnummern möglich, die beim Anbieter Karvi Solutions hochgezählt werden konnte. Betroffen waren 399 Lieferdienste in ganz Deutschland. Vollständig geschlossen ist die Lücke nach Angaben des CCC noch nicht.
Ein weiteres Datenleck betraf den Webshop "kraftwerk-logistik.de", der von der "Paket.ag & EasyLox GmbH" betrieben wird. Der Webshop vertreibt PV-Anlagen, Wechselrichter, PV-Module, Speicher und Zubehör. Ebenfalls durch Hochzählen ließen sich Rechnungen über mehrere Jahre abrufen, wie der CCC informiert.
Ebenfalls offen zugänglich war ein Server des Software-Unternehmens ALFISolutions. Dort ließ sich eine CSV-Datei mit Informationen zu Eigenkapital, Einkommen und weiteren Finanzinformationen von etwas 300 Personen einsehbar waren. "Viele der von uns gemeldeten Lücken sind erschreckend banal: Daten sind gleich offen zugänglich oder es genügt, eine ID hochzuzählen. Wir würden uns mehr technische Herausforderung wünschen", kommentiert Matthias Marx, Sprecher des CCC.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare