Am 22. März 2024 wurde ein Datenleck bei der beliebten KiTa-App „Stay Informed“ durch das Fachmagazin c’t bekannt. Die App wird von über 11.000 Einrichtungen in Deutschland genutzt und hat über 800.000 Nutzer, deren sensiblen Daten potenziell betroffen sein könnten.
Das Leck sei durch eine Schwachstelle in der Webanwendung der App entstanden. Zum einen wurde ein Directory Listing verwendet, dass dafür sorgt, dass Dateien, die auf dem Server liegen, angezeigt und abgerufen werden können, obwohl diese eigentlich nicht für alle zugänglich sein sollten. Zudem gab es eine fehlende Verschlüsselung trotz der Nutzung des Ports 443, was eigentlich zur verschlüsselten Kommunikation zwischen zwei Endpunkten dient. Unbefugte Dritte konnten so über einen längeren Zeitraum auf die Daten zugreifen. Es handelte sich dabei um CSV-Dateien, die viele persönliche Daten enthielten, wobei insbesondere Minderjährige mit ihren Daten betroffen waren.
„Stay Informed“ hat nach dem Bekanntwerden die betroffenen Einrichtungen informiert. Dabei waren die Einrichtungen bezüglich ihrer Avatare, PDF-Anhänge, und ihren Unterschriften betroffen. Nutzer des Messengers seien zudem auch mit ihren Profilbildern betroffen.
Die jeweiligen Einrichtungen sollten sich an die dafür zuständige Datenschutzbehörde wenden, um ein weiteres Vorgehen zu entscheiden. Künftig will das Unternehmen die Infrastruktur wöchentlich scannen lassen, um weitere Veröffentlichungen von sensiblen Daten zu verhindern.
Quelle: https://www.heise.de/news/Datenleck-bei-beliebter-KiTa-App-Stay-Informed-9662578.html