Das Leck sei durch eine Schwachstelle in der Webanwendung der App entstanden. Zum einen wurde ein Directory Listing verwendet, dass dafür sorgt, dass Dateien, die auf dem Server liegen, angezeigt und abgerufen werden können, obwohl diese eigentlich nicht für alle zugänglich sein sollten. Zudem gab es eine fehlende Verschlüsselung trotz der Nutzung des Ports 443, was eigentlich zur verschlüsselten Kommunikation zwischen zwei Endpunkten dient. Unbefugte Dritte konnten so über einen längeren Zeitraum auf die Daten zugreifen. Es handelte sich dabei um CSV-Dateien, die viele persönliche Daten enthielten, wobei insbesondere Minderjährige mit ihren Daten betroffen waren.
„Stay Informed“ hat nach dem Bekanntwerden die betroffenen Einrichtungen informiert. Dabei waren die Einrichtungen bezüglich ihrer Avatare, PDF-Anhänge, und ihren Unterschriften betroffen. Nutzer des Messengers seien zudem auch mit ihren Profilbildern betroffen.
Die jeweiligen Einrichtungen sollten sich an die dafür zuständige Datenschutzbehörde wenden, um ein weiteres Vorgehen zu entscheiden. Künftig will das Unternehmen die Infrastruktur wöchentlich scannen lassen, um weitere Veröffentlichungen von sensiblen Daten zu verhindern.
Quelle: https://www.heise.de/news/Datenleck-bei-beliebter-KiTa-App-Stay-Informed-9662578.html