- Bei Anbietern wie Zapptales kann man Chatverläufe in gedruckte Bücher verwandeln.
- Allerdings waren dort 21 TB Daten nicht gut geschützt.
- Die Lücke wurde inzwischen immerhin geschlossen.
Wenn ihr euch auf Social Media bewegt, habt ihr sicherlich mal Werbung für diesen oder einen ähnlichen Anbieter angezeigt bekommen. Unter anderem bei Zapptales lassen sich nämlich ganz besondere Geschenke bestellen: gedruckte Bücher aus den eigenen Chatverläufen (z.B. von WhatsApp, Telegram, Threema oder iMessage) mit einer wichtigen Person.
Dafür muss man offensichtlich den jeweiligen Chatverlauf erst einmal hochladen. Diesen Schritt geht man sicherlich nicht leichtfertig und setzt voraus, dass der entsprechende Service vertraulich mit den Daten umgeht und alles dafür tut, dass Unbefugte nicht an die Chats gelangen.
„Oh no, das scheinen so ziemlich alle Daten zu sein.“
Wie das Kollektiv Zerforschung herausgefunden hat, war das bei Zapptales allem Anschein nach nicht der Fall. Auf relativ unkomplizierten Weg sind die Sicherheitsforscher nämlich an die Zugangsdaten für den AWS-Account von Zapptales gelangt. AWS steht für Amazon Web Services (deren Server in letzter Zeit immer mal wieder Schluckauf haben, weswegen gelegentlich das halbe Internet nicht erreichbar ist) und bietet unter anderem die Möglichkeit, große Mengen an Daten zu speichern.
Und das war bei Zapptales notwendig. Rund 21 Terabyte persönlicher Daten hat das Kollektiv Zerforschung ausgemacht. Darunter nicht nur die Adressen und Namen von 69.000 Kunden, sondern auch „zehntausende fertige Fotobücher im PDF-Format“. Und es wird noch besser:
Delikates Detail: Wenn man das Buch bei zapptales gestaltet, kann man einzelne Nachrichten ausblenden – doch die Nachrichten und Medien bleiben auf dem Server gespeichert, es wird lediglich eine Markierung in der Datenbank gesetzt.
Unerfüllte Werbeversprechen
Das ist ja alles schon schlimm genug, doch Zapptales erdreistet sich leider auch noch, mit Werbeversprechen in die Irre zu führen. Zwar passiere der Upload über eine HTTPS-Verschlüsselung, das sei aber eine Standardtechnologie und müsste nicht unbedingt erwähnt werden. Außerdem ist lediglich der Weg zwischen Nutzer und Zapptales, nicht aber darüber hinaus geschützt. Weder vor fremdem noch vor dem Zugriff durch Zapptales selbst.
Was man Zapptales zugutehalten muss: Sie haben extrem schnell reagiert. Nachdem das Kollektiv den Fehler im September gemeldet hatte, war der Datenzugriff schon einen Tag später auf dem genannten Weg nicht mehr möglich.
Außerdem behauptet Zapptales, dass niemand außer sie selbst sowie das Kollektiv diese Zugangsdaten benutzt hätte. Im Blog hat man anschließend einen entsprechenden Beitrag veröffentlicht, nicht aber proaktiv Kunden informiert.
Unverantwortliches Verhalten von Zapptales
Überlassen wir das letzte Wort den Zerforschern:
Denn Fehler wie der hier beschriebene können passieren, auch ohne böse Absicht. Gerade deshalb ist es aber wichtig, Vorkehrungen zu treffen, um den daraus entstandenen Schaden zu minimieren.
Fotos, Videos, Sprachnachrichten und den Chatverlauf eines gekauften Buches auf unbestimmte Zeit und unverschlüsselt im Internet liegen zu lassen, ist hingegen unverantwortlich.
Hier findet ihr den sehr lesenswerten und erfrischend wenig technischen Originalartikel beim Kollektiv Zerforschung. Habt ihr schonmal so ein WhatsApp-Buch verschenkt oder bekommen?
[sd_posts template=“templates/teaser-loop.php“ posts_per_page=“5″ taxonomy=“post_tag“ tax_term=“whatsapp“ order=“desc“]