Gravierende Sicherheitslücke: Monatelang Kundendaten von Putzvermittler Helpling abrufbar

Datenschutz-Skandal bei Vermittlungsplattform für Reinigungskräfte: Adressen von Kunden, die Stockwerke ihrer Wohnungen, Steuernummern von Putzkräften – dies alles war auf dem Portal wegen einer Sicherheitslücke für Monate offen verfügbar.

Nicht sauber programmiert: Eine Sicherheitslücke öffnete Zugriff auf die Rechnungen der Kunden des Putzvermittlers. Foto: CC-BY 2.0 aqua.mech

Das Putzportal Helpling.de hatte offenbar seit Februar 2016 eine gravierende Sicherheitslücke im System mittels derer jede eingeloggte Person nicht nur die eigenen Rechnungen, sondern auch die Rechnungen anderer Kunden abrufen konnte. Helpling.de ist ein Unternehmen der Samwer-Brüder und vermittelt Reinigungskräfte gegen Provision an Privatleute.

Rechnungen in diesem und mindestens zwei anderen Layouts standen offen im Netz.
Rechnungen in diesem und mindestens zwei anderen Layouts standen offen im Netz.

Kinderleicht die Rechnungen anderer Kunden abrufen

Um die Lücke auszunutzen, musste man nur als Kunde eingeloggt sein. Ist man auf der Plattform eingeloggt, kann man seine Rechnungen einsehen. Diese sind mit einem Link der folgenden Logik abrufbar: https://www.helpling.de/invoices/XXXXXX. Erhöhte man dann einfach in der Adresszeile des Browsers die fortlaufende Nummer hinter der eigenen Rechnung, konnte man Rechnungen anderer Kunden sehen. Mit dieser sehr einfachen Methode, die keinerlei Programmierkenntnisse oder besondere Skills erfordert, hatte man Zugriff auf alle in diesem System im PDF-Format hinterlegten Rechnungen.

Wir konnten Rechnungen ausfindig machen von Mai 2014 bis Juli 2016. Die fortlaufenden Nummern hatten nach unseren Recherchen einen Zahlenbereich von etwa 800.000. In unserem stichprobenartigen Verfahren funktionierte etwa jede zweite Nummer, was auf offen im Netz stehende Rechnungen im mindestens niedrigen sechsstelligen Bereich schließen lässt. Mittels eines Scriptes wäre auch das automatische Auslesen und Herunterladen der Rechnungen möglich gewesen, auf das wir bei der Recherche bewusst verzichtet haben.

Wir haben probeweise und für Dokumentationszwecke dutzende Rechnungen unterschiedlicher Kunden aus dem gesamten Bundesgebiet für den Zeitraum Mai 2014 bis Juli 2016 heruntergeladen.

Rechnungen aus dem Zeitraum von Mai 2014 bis Juli 2016 abrufbar

Die Rechnungen enthalten:

  • Anschrift des Kunden, bei dem geputzt wird
  • oftmals Stockwerk und/oder Wohnung des Kunden
  • Kundennummer
  • Rechnungsnummer
  • teilweise Frequenz, in der geputzt wird (einmalig, wöchentlich, usw.)
  • Anzahl der Stunden und Kosten
  • Anschrift der Reinigungskraft
  • teilweise Steuer-ID der Reinigungskraft

Mit den so einfach abzugreifenden Daten sind verschiedene Missbrauchsszenarien möglich. Einerseits können alle Kunden und alle Putzkräfte des Portals sowie ihre Beziehungen untereinander rekonstruiert werden. Mit den Daten ist zudem Social Engineering möglich. Kriminelle könnten sich als Putzkräfte ausgeben und so z.B. an die Wohnungsschlüssel herankommen.

Nachdem wir die Sicherheitslücke überprüft hatten, haben wir die Datenschutzbeauftragte des Landes Berlin und dann das Unternehmen Helpling informiert. Helpling war zuerst nur per Mail erreichbar. Obwohl wir keine Details zur Sicherheitslücke in die Mail schrieben, schloss Helpling die Lücke innerhalb weniger Stunden ohne sich zurückzumelden.

Sicherheitslücke bestand mehrere Monate

Gegenüber netzpolitik.org sagt Philip Huffmann, Mitgründer von Helpling:

Vor wenigen Monaten haben wir unsere Technologie auf eine komplett neue Plattform umgestellt, die u.a. ein neues Rechnungssystem beinhaltet. Diese Umstellung hat mit hoher Wahrscheinlichkeit den unverschlüsselten Zugang zu den pdf-Rechnungen ermöglicht, sofern die URL dahingehend manuell geändert wurde.

Nach dieser Aussage ist es wahrscheinlich, dass die Sicherheitslücke seit Februar 2016 bestand. Das war der Zeitpunkt als Helpling auf die technologische Plattform seines Tochterunternehmens Hassle wechselte. Bekannt sei dem Unternehmen die Sicherheitslücke allerdings erst in dieser Woche geworden, sagt Huffmann.

Änderung der URL sei unlauteres Vorgehen

Eine interessante Lesart der Datenlücke findet sich zudem im Statement des Unternehmens. Dort heißt es:

Darüber hinaus war die Datenlücke nicht öffentlich zugänglich, sondern wurde erst durch unlauteres Vorgehen, in diesem Fall durch die Änderung der URL, ersichtlich.

Helpling möchte seine Kunden über die Sicherheitslücke zeitnah informieren, sagt die Pressesprecherin gegenüber netzpolitik.org.

Update:
Helpling hat seine deutschen Kunden mittlerweile über die Sicherheitslücke informiert. In der Mitteilung heißt es: „Durch eine kürzlich vorgenommene Systemänderung konnte im eingeloggten Zustand durch eine gezielte manuelle Änderung der URL theoretisch auf andere Kundenrechnungen im System zugegriffen werden.“ Der Zugriff war durch die oben beschriebene Methode auch praktisch möglich.

Zudem hat Helpling uns noch eine Nachricht geschickt, in der es heißt, dass die Sicherheitslücke erst Anfang Juni entstanden sei. In der Mitteilung von Freitag hatte es noch gehießen, dass die Lücke „wenige Monate“ bestanden habe.

Den Hinweis auf die Datenschutzlücke haben wir von unserem Leser Paul Eppner gesteckt bekommen. Paul ist Entwickler hinter der freien Mitfahrzentrale bessermitfahren.de.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

10 Ergänzungen

  1. Fragt sich, warum sich Paul an euch wendet, statt sich zuerst um die Behebung der Sicherheitlücke zu kümmern.

    Vielleicht sollte sich der Datenschützer Paul erstmal um seinen eigenen Bereich kümmern. Ohne das weiter analysiert zu haben: Nach einmaliger Eingabe des Captcha auf http://www.bessermitfahren.de bekommt man alle persönlichen Daten der Leute dort frei Haus. Gute Arbeit, Paul.

      1. Mag sein. Hoffentlich hat er mittlerweile im eigenen Hause aufgeräumt. Das Offenlegen von Name, Email, Telefon, Kennzeichen und Fahrtstrecken aller Nutzer auf seiner Seite (lt. Impresssum Betreiber, nicht nur Entwickler) bei einmaliger Eingabe eines Captchas (danach anscheinend cookie) ist in etwas so sicher wie eine ID, die man hochzählen muss. Bei Helping muss man sich dafür immerhin anmelden, bei http://www.bessermitfahren.de ist nichtmal das erforderlich. Aus Datenschutzsicht ist das eine so gut wie das andere.

  2. Hallo 4gjtehßjthu9b,

    auf bessermitfahren.de ist dies genau so gewollt. Bei der Eingabe der Inserate werden die Kunden darauf hingewiesen, dass diese Daten alle offen zur Verfügung stehen werden. Somit werden die Daten bewusst veröffentlicht. Bei Helpling.de sind die Daten deutlich kritischer zu betrachten, da hier die komplette Adresse einsehbar ist und das ohne die Zustimmung des Kunden.

    gruß, paul

    1. So ein Minihinweis mitten im Block der Eingabefelder ist nicht das gelbe vom Ei. Der dürfte von einer großen Anzahl der Nutzer übersehen oder missverstanden werden. Auch ist dieser Satz bzgl. „Schutz“ durch Captcha falsch. Das Captcha schützt kein bischen. Das gibt man einmal ein und mit dem Cookie kann man danach sämtliche Angebote problemlos auslesen. Auch werden nicht wie versprochen alle persönlichen Daten als Bild dargestellt, sondern nur Telefon und Email. Bei Email hätte man sich das auch sparen können, der Link drumherum per href=“mailto:a@b.c“ mit der Klartextadresse, führt das ad absurdum. Weitere persönliche Daten wie der volle Name, das Kennzeichen und überhaupt die ganzen Fahrtstrecken der Leute, stehen einfach so im Netz, durch jeden der mag maschinell abrufbar.

      Das entspricht nicht den Standards, die man heute als Nutzer erwartet. Die Information dazu ist völlih unzureichend.

      1. Achso: Wenn du das ganze halbwegs rechtssicher machen willst, solltest vor den Speichern-Knopf wenigstens eine Pflichtcheckbox einbauen, in etwa „Ich bin damit einverstanden, dass alle meine hier eingegeben Daten auf dieser Webseite für jedermann öffentlich einsehbar sind.“ Wenn danach die Anzahl der Neueinträge zurückgeht oder weniger Angabe gemacht werden, sollte klar werden warum. Wenn sich das Eingabeverhalten danach nicht ändert, würde es michaber auch nicht wundern ;-)

        1. dem vorschlag würd ich mich anschließen, ich war da auch immer etwas irritiert obwohl ich die unkompliziertheit des Portals ansonsten sehr schätze (aber mir auch ein nicht-google-capture wünschen würde)

          1. Erde an Kommentierer, Erde an Kommentierer: Hier stehen hundertausende Rechnungen bei einem großen Startup wie Helpling offen im Netz – und ihr diskutiert hier den Datenschutz der unbedeutenden unkommerziellen Webseite des Tippgebers. Leute!

  3. Schwarzarbeit aus Datenschutzgründen um solche Offenlegungen zu vermeiden :-) kleiner Scherz.

  4. Heute kam eine Mail von Helpling: „…wir möchten Sie darüber informieren, dass es eine Sicherheitslücke in unserem System gab, die wir nach Bekanntwerden umgehend geschlossen haben.

    Als Teil unserer Dienstleistung stellen wir Ihnen Ihre Rechnungen nach dem Login in Ihrem Kundenaccount im PDF-Format zur Verfügung. Durch eine kürzlich vorgenommene Systemänderung konnte im eingeloggten Zustand durch eine gezielte manuelle Änderung der URL theoretisch auf andere Kundenrechnungen im System zugegriffen werden. Zu keiner Zeit hat es hierbei Einsicht in Konto- oder Bankdaten gegeben.

    Wir bedauern diesen Vorfall sehr. Der Schutz Ihrer persönlichen Daten hat für uns höchste Priorität. Trotz regelmäßiger und intensiver Tests ist uns in diesem Fall ein Fehler unterlaufen. Für diesen möchten wir uns bei Ihnen entschuldigen. Wir nehmen diesen Vorfall sehr ernst und werden unsere Prozesse nochmals ausbauen. Wir arbeiten eng mit externen Datenschutzbeauftragten zusammen und haben die zuständige Datenschutzbehörde über diesen Vorfall informiert. Zum jetzigen Zeitpunkt ist uns kein Fall bekannt, in dem Kundendaten missbraucht worden sind…“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.