Daten­leck bei der KiTa-App Stay Informed

Am 22. März 2024 wurde ein Daten­leck bei der belieb­ten KiTa-App „Stay Infor­med“ durch das Fach­ma­ga­zin c’t bekannt. Die App wird von über 11.000 Ein­rich­tun­gen in Deutsch­land genutzt und hat über 800.000 Nutzer, deren sen­si­blen Daten poten­zi­ell betrof­fen sein könnten.

Das Leck sei durch eine Schwach­stelle in der Web­an­wen­dung der App ent­stan­den. Zum einen wurde ein Direc­tory Listing ver­wen­det, dass dafür sorgt, dass Dateien, die auf dem Server liegen, ange­zeigt und abge­ru­fen werden können, obwohl diese eigent­lich nicht für alle zugäng­lich sein sollten. Zudem gab es eine feh­lende Ver­schlüs­se­lung trotz der Nutzung des Ports 443, was eigent­lich zur ver­schlüs­sel­ten Kom­mu­ni­ka­tion zwi­schen zwei End­punk­ten dient. Unbe­fugte Dritte konnten so über einen län­ge­ren Zeit­raum auf die Daten zugrei­fen. Es han­delte sich dabei um CSV-Dateien, die viele per­sön­li­che Daten ent­hiel­ten, wobei ins­be­son­dere Min­der­jäh­rige mit ihren Daten betrof­fen waren.

„Stay Infor­med“ hat nach dem Bekannt­wer­den die betrof­fe­nen Ein­rich­tun­gen infor­miert. Dabei waren die Ein­rich­tun­gen bezüg­lich ihrer Avatare, PDF-Anhänge, und ihren Unter­schrif­ten betrof­fen. Nutzer des Mes­sen­gers seien zudem auch mit ihren Pro­fil­bil­dern betroffen.
Die jewei­li­gen Ein­rich­tun­gen sollten sich an die dafür zustän­dige Daten­schutz­be­hörde wenden, um ein wei­te­res Vor­ge­hen zu ent­schei­den. Künftig will das Unter­neh­men die Infra­struk­tur wöchent­lich scannen lassen, um weitere Ver­öf­fent­li­chun­gen von sen­si­blen Daten zu verhindern.

 

Quelle: https://www.heise.de/news/Datenleck-bei-beliebter-KiTa-App-Stay-Informed-9662578.html