Datenleck

Nextcloud: Offene Datenbank gab Rechnungen und Verträge preis

Cloud Leak

Sicherheitsforscher sind bei Nextcloud auf eine frei zugängliche Elasticsearch Instanz gestoßen. Darin lagen interne Firmendaten, Kundenverträge und Installationsskripte offen im Netz.

Die auf lokal gehostete Kollaborationssoftware spezialisierte Firma Nextcloud hatte laut einer Untersuchung des Portals Cybernews über längere Zeit eine ungeschützte Datenbank im Netz stehen. Gefunden wurde der Cluster am 18. Mai. Insgesamt umfasste er nach Angaben der Forscher rund 367.000 Datensätze mit einem Volumen von knapp 7,9 GByte.

Anzeige

Nextcloud läuft normalerweise auf Servern der Kunden selbst. Die Software gilt außerdem als Baustein von Euro Office, das als europäische Alternative zu Microsoft Office und Google Docs vermarktet wird.

Was alles drin war

Den größten Anteil an Dateitypen machten laut der Auswertung PDF-Dokumente aus, etwa 71.000 Stück. Hinzu kamen rund 53.000 PNG-Bilder und knapp 23.000 Markdown-Dateien.

Zu den unverschlüsselt gespeicherten Inhalten zählten Rechnungen, die Nextcloud sowohl an Kunden gestellt als auch von Zulieferern erhalten hatte. Aus diesen Dokumenten ließen sich E-Mail-Adressen von Nextcloud-Beschäftigten sowie Namen und Adressen von Kundenunternehmen auslesen. Auch die Kontaktdaten von Personen, die Rechnungen an Nextcloud gesendet hatten, waren enthalten. Unter den erkennbaren E-Mail-Domains fanden sich laut Cybernews die Hosting-Anbieter IONOS und Strato sowie öffentliche Stellen, als Beispiel wird das nordrhein-westfälische Schulministerium genannt.

Anzeige

Neben den Rechnungen und Verträgen fanden die Forscher folgende weitere Inhalte in der Datenbank:

  • Shell und Python Skripte, die Nextcloud für einzelne Kunden zur Installation und zum Betrieb der Software auf deren eigener Infrastruktur erstellt hatte. Ein Teil dieser Skripte enthielt fest hinterlegte Datenbankzugangsdaten.
  • E Mail Nachrichten im EML Format, inklusive Zeitstempel sowie Absender und Empfängeradressen.
  • Listen mit vollständigen Namen und dienstlichen E Mail-Adressen von Personen, die an Betatests oder anderen Nextcloud Programmen teilgenommen hatten.
  • Verträge, Vorlagen und Zusammenfassungen zu Geschäftsbeziehungen mit Kunden, darunter Angaben zu Leistungsumfang, Nutzerzahlen und Vertragsbedingungen.
  • Zusätzliche Metadaten wie HTTP Header, Listen der Personen, mit denen Dateien geteilt wurden (überwiegend Vornamen von Nextcloud Mitarbeitern, teils auch externe Adressen), Dateipfade und Dateinamen sowie MD5 Prüfsummen.

Nextcloud reagiert

Gegenüber Cybernews erklärte Nextcloud, die Ursache liege in einer Fehlkonfiguration der eigenen Hosting-Infrastruktur und stehe nicht im Zusammenhang mit der Nextcloud Software selbst. Server von Kunden, Partnern oder sonstigen Nutzern seien von dem Vorfall nicht betroffen gewesen.

Das Problem wurde durch eine Fehlkonfiguration unserer Hosting-Infrastruktur verursacht und steht in keinem Zusammenhang mit der Nextcloud-Lösung. Keine anderen Nextcloud-Server unserer Kunden, Partner oder anderer Nutzer waren von diesem Problem betroffen.

Nextcloud


Laut Cybernews wurde der Cluster zwei Tage nach der Meldung durch die Forscher geschlossen und ist seither nicht mehr öffentlich erreichbar. Nextcloud habe den Vorfall zusätzlich der zuständigen Landesdatenschutzbehörde gemeldet. Es lägen bislang keine Hinweise auf einen tatsächlichen Missbrauch der Daten vor, weder aus Sicht von Nextcloud noch aus Sicht der Cybernews Forscher.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.