Nach Datenleck bei Kita-App: Stay Informed richtet Informationsseite und FAQ ein
Nachdem bei der beliebten Kita-App "Stay Informed" ein Datenleck bekannt wurde, richtet der Anbieter eine Informationsseite samt FAQ für Betroffene ein.
(Bild: M-Production/Shutterstock.com)
Nach Bekanntwerden eines Datenlecks bei der App "Stay Informed" – die für Kitas und ähnliche Einrichtungen verschiedene organisatorische Funktionen samt Chat anbietet – hat die gleichnamige Stay Informed GmbH für seine Kunden eine eigene Informationsseite samt FAQ eingerichtet.
Mit der App können Termine verwaltet und andere Dienste genutzt werden, auch eine Messenger-Funktion ist integriert. Eltern können ihre Kinder über die App krankmelden oder bestätigen, dass ihr Kind an einer Klassenfahrt teilnehmen darf.
Auf der Seite heißt es, die Datenpanne sei behoben und der zuständige Landesbeauftragte für Datenschutz und Informationssicherheit von Baden-Württemberg informiert, jedoch seien "bei Einrichtungen und Eltern", die die App nutzen, Sicherheitsfragen aufgekommen.
Weitere fehlkonfigurierte Entwicklungsserver entdeckt
Die Lücke habe Stay Informed am selben Tag geschlossen. Darüber hinaus wurde das System auf mögliche weitere Schwachstellen überprüft. Nach Untersuchungen durch "interne und externe IT-Fachleute" wurden bereits "weitere Fehlkonfigurationen auf Entwicklungsservern entdeckt", die laut Unternehmen inzwischen behoben sind.
Zuvor waren Dateien auf Servern durch Dritte einsehbar. Weitere Untersuchungen sollen Aufschluss über das Ausmaß der Datenzugriffe geben. Allerdings scheint laut der FAQ des Unternehmens fraglich, ob dazu eine vollständige Aufklärung möglich ist. "Die Protokollierung des Webservers war auf maximal 14 Tage eingestellt. Wir haben also nur ein sehr begrenztes Sichtfenster". Die Zugriffe innerhalb der zwei Wochen habe das Unternehmen analysieren können.
Wer hatte Zugriff auf die Daten?
Laut Herstellern können Betroffene in der App selbst sehen, welche PDF-Anhänge verschickt wurden. Diese seien möglicherweise von der Fehlkonfiguration betroffen. "Welche Inhalte diese PDF-Dateien hatten, hängt von der individuellen Nutzung der App ab", erklären die Hersteller. Zudem können Eltern im Messenger sehen, ob ein hochgeladenes Profilbild betroffen war. Neben diesen könnten auch Grafiken von Unterschriften betroffen sein, letztere liegen allerdings verschlüsselt auf dem Server.
Lesen Sie auch
Datenleck bei beliebter KiTa-App Stay Informed
Vorangegangen war eine Recherche von c’t, infolge eines anonymen Hinweises auf das Datenleck. Nachforschungen ergaben, dass auf einem Webserver viele Dateien frei zugänglich waren. Der Server war über das Klartext-Protokoll HTTP erreichbar und lieferte ein Directory Listing seines Inhalts. Einen Zugriffsschutz und eine Transportverschlüsselung gab es auch nicht, obwohl die Kommunikation über den eigentlich für verschlüsselte HTTPS-Kommunikation gedachten Port 443 lief.
Neben Name, Geburtsdaten und Anschriften fanden sich teilweise auch Angaben zum Herkunftsland, Impfungen, Konfessionen und viele weitere Details der Betroffenen. Ebenso waren mehr als 16.000 Avatarbilder für die Nutzung der Chatfunktion einsehbar. Nachdem die Stay Informed GmbH informiert wurde, schloss das Unternehmen die Lücke. Die Verantwortung tragen jedoch, weil Stay Informed nur als Auftragsverarbeiter agiert, die Einrichtungen, die die Vorfälle den zuständigen Landesdatenschutzbehörden und eventuell auch den betroffenen Eltern melden müssen.
(mack)