Zapptales Datenleck bei Chat-Buch-Software aufgedeckt

Mit Zapptales kann man private Chatverläufe zu Büchern binden lassen. Das IT-Sicherheits-Kollektiv Zerforschung hat jetzt festgestellt: Bei dem Unternehmen gab es eine große Sicherheitslücke. Jeder hätte zeitweise auf übermittelte Chats und andere persönliche Daten von Kund:innen zugreifen können.

Zwei Hände tippen Nachricht in Chat
Zapptales macht aus privaten Chatverläufen Geschenkbücher für Familie und Freunde. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Asterfolio

Wenn wir mit Freunden, Familie oder dem Partner kommunizieren, dann nutzen wir häufig Messenger-Dienste wie WhatsApp, Telegram oder Threema. Das Münchner Start-Up Zapptales bietet Nutzer:innen an, die privaten Chatverläufe mit ihren Liebsten zu gedruckten Büchern zu binden. Dafür müssen sie ihren Ende-zu-Ende-verschlüsselten Chatverlauf aus dem Messenger bei dem Unternehmen hochladen.

Das funktioniert für jeden Messenger ein bisschen anders. Im Falle von WhatsApp empfiehlt Zapptales dafür eine eigene Software, die die Kund:innen herunterladen können. Sicherheitsexpert:innen vom Kollektiv Zerforschung haben jetzt aufgedeckt, dass im Code dieser Software zeitweise Zugangsdaten zur Amazon-Cloud des Unternehmens standen. Zwischen September 2020 und Oktober 2021 wären so tausende Chats und Kontaktdaten von Kund:innen offen im Netz einsehbar gewesen. Mittlerweile hat das Unternehmen das Sicherheitsproblem behoben.

Zapptales wirbt damit, erinnerungswürdige Momente aus dem Chat auf Papier zu bringen – und liegt damit voll im Trend. Nach Angaben des Unternehmens sollen in diesem Jahr voraussichtlich etwa 50.000 Chat-Bücher gedruckt werden. Die Bücher erinnern im ersten Augenblick an ein klassisches Fotobuch, das man Freunden oder Familie zur Hochzeit, zu Weihnachten oder zum Geburtstag schenken kann. Nur, dass die Bücher von Zapptales nicht nur Bilder, sondern ganze Unterhaltungen umfassen. Auch Sprachnachrichten und Videos können im Buch integriert werden – und zwar über QR-Codes, die der oder die Leser:in scannen und so die Inhalte noch einmal aufrufen kann.

Zugriff auf mehrere Terabyte Daten

Bereits im September diesen Jahres hatte Zerforschung die Zugangsdaten in der Anwendung von Zapptales gefunden, wie das Kollektiv berichtet. Durch das Datenleck hätte Zerforschung zeitweise sämtliche Chats und zehntausende PDFs von fertigen Chat-Büchern einsehen können, die beim Münchner Unternehmen Zapptales gespeichert waren. Auch die E-Mail-Adressen und die Anschriften der Kund:innen seien abrufbar gewesen. Insgesamt 21 Terabyte Daten hätte Zerforschung eigenen Angaben zufolge abgreifen können.

Laut dem Kollektiv waren insgesamt 69.000 Accounts von dem Vorfall betroffen. Das Datenleck, das fast ein Jahr lang bestand, war durch einen Fehler der App-Entwickler entstanden. Bereits Ende September hatte Zerforschung das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) über die Sicherheitslücke informiert.

Sicherheitslücke mittlerweile geschlossen

In einem Blogbeitrag bestätigt das Unternehmen das Datenleck. Eine Analyse, die das Unternehmen zusammen mit der bayrischen Landesdatenaufsicht durchgeführt hatte, hätte allerdings zeigen können, dass die Schwachstelle nicht ausgenutzt wurde, wie die Geschäftsführerin Anna Kimmerle-Hürlimann gegenüber dem „Spiegel“ erklärte. „Das hätte nicht passieren dürfen, aber wir haben die Lücke innerhalb von zwei Stunden nach Erhalt der Meldung geschlossen und bereits am nächsten Tag eine neue Version der Software veröffentlicht, die das Problem vollständig behoben hat“, so Kimmerle-Hürlimann.

Zerforschung bestätigte, dass Zapptales das Problem nach einem Tag behoben hatte. Das Unternehmen bedankte sich dem Kollektiv für den Hinweis auf das Datenleck. Als Reaktion auf den Vorfall habe man eine „zusätzliche Prüfschleife für sicherheitskritische Codes eingeführt“, heißt es in einem Blogbeitrag, der über den Sicherheitsvorfall informiert. Da kein weiterer Schaden entstanden sei, hatte sich das Unternehmen in Absprache mit der zuständigen Behörde dagegen entschieden, betroffene Kund:innen einzeln über den Vorfall zu benachrichtigen.

Zerforschung fordert zusätzliche Verschlüsselung der Daten

„Fehler wie der hier beschriebene können passieren, auch ohne böse Absicht“, schreibt Zerforschung auf ihrem Blog. Umso wichtiger sei es aber, Vorkehrungen zu treffen, um den daraus entstandenen Schaden zu minimieren.

Auf seiner Website wirbt Zapptales damit, verantwortungsvoll mit den Daten seiner Nutzer:innen umzugehen und dabei „höchste Datenschutzstandards“ einzuhalten. Der Upload von Chatverläufen sei SSL-verschlüsselt, auch die Daten würden verschlüsselt auf den Servern gespeichert, schreibt das Unternehmen in dem Artikel zur Sicherheitslücke auf seinem Blog. Laut Zerforschung verschlüsselt Zapptales aber nur die Verbindung, die Daten selbst könne das Unternehmen dennoch mitlesen.

Das Kollektiv schlug deshalb vor, dass Zapptales die Daten der Kund:innen zusätzlich verschlüsseln sollte: „Das Unternehmen könnte die Daten auf seinen Servern so verschlüsseln, dass nur die Kund*Innen und die Druckerei die Chats entschlüsseln können.“ Die Idee sei technisch umsetzbar, würde allerdings einen Mehraufwand für das Unternehmen bedeuten.

Eine weitere Gefahr sieht Zerforschung in den QR-Codes, die in den Chat-Büchern abgedruckt sind. Sobald die QR-Codes in die falschen Hände gerieten, könne jede:r auf die persönlichen Sprachnachrichten oder Videos zugreifen. Auch hier fordert das Kollektiv bessere Sicherheitsvorkehrungen. Zapptales wolle in Zukunft eine Pin-Abfrage vorschalten, erklärte die Geschäftsführerin daraufhin gegenüber Zerforschung. Das soll allerdings erst nach dem Weihnachtsgeschäft passieren.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

6 Ergänzungen

  1. … und der Teufel lässt nicht lange auf sich warten.

    Private Unterhaltungen, Briefwechsel und elektronische Nachrichten zählen zum besonders geschützten Intimbereich. Ob nun Freundeskreis oder Verwandte: Ein Vertrauensbruch wird nicht selten als Verrat empfunden und hat nicht selten schwerwiegende Beziehungskonsequenzen zur Folge.

    Wer kommt also auf die Idee, jemanden einen Chat-Verlauf in Buchform zu schenken?
    Natürlich als „Überraschung“ und ohne vorherige Einwilligung der Beteiligten?
    Womöglich für einen noch umfangreicheren Verteilerkreis, als die Chat-Beteiligten?

    Und nicht immer gefällt es, mit schnell formulierten Texten konfrontiert zu werden, aus vergessen geglaubter Vergangenheit mit gewachsenem Gras bedeckt. Und dann so ein Esel der das Gras frisst! Und vertraulichen Inhalt an eine Firma gibt, die Freude an Daten hat.

    OMG! Wie grenzenlos … können Mitmenschen sein?

    1. Erschreckend aber wahr: es ist alles schon so komplex geworden, bei gelichzeitig so hoher Alltagseinbindung, dass das Bildungssystem nicht mehr hinterherkommt. Gut da ist noch nicht mal Sexualkunde richtig angekommen, wie soll dann in 200 Jahren digitale Bildung…

  2. Cloudscheiß der auf anderem Cloudscheiß aufsetzt…

    „Die Idee sei technisch umsetzbar, würde allerdings einen Mehraufwand für das Unternehmen bedeuten. “
    Naja, und/oder eine Datendiode zum Drucker hin, oder, oder , oder… „Mehraufwand“ – das ist die Definition von Securityversagen.

    „TLS-Security“ – JAAA.

    Also wie funktioniert die Firma eigentlich… haben die ein Skript, dass die Nutzereingabe in ein Druckformat umwandelt, und dann schicken die das an einen Drittdienst zum Drucken? Da spart man sich doch glatt jeden Mehraufwand Abseits von gar nichts. Das ist ja das „inviting disaster“ moderne Dienstleistungsghoulasch.

    1. Ich vermute das Detail ist so:
      „der Druckdienst hat einen Account bei deren „TLS-secured-cloud-storage“, und holt sich per Skript regelmäßig die Daten zum Druck ab“ :). Vermutlich wegen Performance per „b2b-secured-ftp aus dem Homeoffice ;).

  3. Geile Geschenk-Idee für Chat-Gruppen bei Polizei & Co.!

    Mit Belegexemplar für MAD/Verfassungsschutz.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.