Etwa ein Jahr lang lagen die Nachrichten tausender WhatsApp-Nutzer ungeschützt im Internet. Das lag an einem Angebot des Münchner Startups Zapptales. Hier haben wir die Einzelheiten zusammengefasst.
Das Münchner Startup Zapptales bietet Kunden die Möglichkeit, ihre Chatverläufe in Buchform zu bringen. Auf der Website des Unternehmens heißt es: «Eure Lovestory, der Chat mit deiner besten Freundin, ein modernes Babybuch oder ein ganzes Jahr mit deiner Familie… Es gibt viele Momente, die es verdienen, festgehalten zu werden.» Häufig dürfte dieses Angebot für ein Geschenk in Anspruch genommen werden.
Dafür muss man die entsprechenden Chatinhalte aus Diensten wie WhatsApp, iMessage, Instagram, Facebook, Telegram oder Threema bei Zapptales hochladen. Wie der «Spiegel» berichtet, gab es hierbei nun aber lange Zeit ein gravierendes Problem: Die Entwickler hatten die Zugangsschlüssel zu den entsprechenden Datenbanken mit in ihre Webanwendung geschrieben.
Dadurch hätten Hacker Zugang zu sämtlichen Chatlogs, Bilder und PDFs der Bücher erhalten können. Da in diesen QR-Codes zu Videos und Sprachnachrichten abgedruckt sind, hätten die Angreifer auch darauf Zugriff gehabt.
Chats tausender Whats-App-Nutzer wegen Sicherheitslücke im Netz frei einsehbar
Die Lücke wurde von den Sicherheitsexperten der Gruppe Zerforschung entdeckt. Es seien etwa 69.000 Accounts betroffen gewesen. Neben den Entwicklern selbst wurden auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der zuständigen bayerischen Landesdatenschutzaufsicht die Informationen weitergeleitet.
Inzwischen sei das Problem allerdings behoben und das Abgreifen der Daten nicht mehr möglich. Glücklicherweise sei auch davor die Lücke nie ausgenutzt worden. Das geht aus den entsprechenden Log-Files hervor.
Bei Zapptales möchte man aber auch darüber hinaus noch für mehr Sicherheit sorgen. In einem Blogbeitrag heißt es: «Um eine solche Fehlerquelle in Zukunft zu vermeiden, haben wir außerdem zusätzliche Prüfschleifen für sicherheitskritische Codes eingeführt.»