Legaltech-Startups bieten ihren Kunden juristische Dienstleistungen an, die teil- oder vollautomatisiert sind und können so hocheffizient viele Fälle bearbeiten, um etwa Konsumentenrechte geltend zu machen. Doch mit dem Automatisierungsgrad rechtlicher Vorgänge steigt auch das Risiko, Datenpannen vollautomatisch mitzuliefern. Genau das ist gleich zwei Unternehmen aus der Legaltech-Branche in den vergangenen Monaten passiert. Der Chaos Computer Club (CCC) nahm sich der Fälle an.
Anzeige
Das LegalTech euFlight hat sich dem Verbraucherschutz verschrieben. Das Unternehmen möchte Fluggästen helfen, ihre Ansprüche wegen Flugausfällen oder -verspätungen durchzusetzen und kauft ihnen die Ansprüche mit einem Abschlag ab (Factoring). Die gesammelten Fluggastrechte setzt euFlight dann gegenüber den Fluglinien durch, notfalls auch mit rechtlichen Mitteln.
Bereits im September 2024 entdeckte der Sicherheitsforscher Matthias Marx auf einer Backend-Website von euFlight ein für jedermann zugängliches .git-Verzeichnis, womöglich Überbleibsel eines fehlerhaften Rollout-Prozesses. Dieses Verzeichnis enthält interne Metadaten des von Linus Torvalds ersonnenen Versionskontrollsystems, aber auch den gesamten Quellcode der betroffenen Applikation. In dem verbarg sich der Schlüssel für einen Datenschatz: Über das Backend-System hatte Marx Zugriff auf Daten mehrerer Tausend euFlight-Kunden und einige Datenbankserver des Unternehmens. Bei seinem kurzen Streifzug durch das euFlight-System fielen dem Hacker auch veraltete Passwort-Hashverfahren und unzureichende Authentifizierungsmechanismen auf. Marx, Mitglied des CCC, schaltete den Club ein. Der wiederum informierte das Unternehmen, welches die schlimmsten Lücken noch am selben Tag schloss.
Gegenüber heise security erklärte euFlight-Geschäftsführer Lars Watermann, wie es zu dem Leck kam: Bei der Übergabe an neue IT-Verantwortliche habe es eine Fehlkonfiguration gegeben, die den Zugriff auf das .git-Verzeichnis gestattete. Die angegriffene Software sei "Legacy", also Teil der technischen Schulden des Unternehmens gewesen. Man habe viele der vom CCC kritisierten Punkte bereits auf dem Zettel gehabt, so Watermann weiter. Das inkriminierte Backend habe seit Juli 2024 offen gestanden, außer dem CCC-Forscher habe jedoch niemand auf das Verzeichnis zugegriffen. Das sei schon lange behoben, mittlerweile seien aber auch die weiteren Verbesserungshinweise des Hackers umgesetzt.
Matthias Marx und die euFlight-Geschäftsführung schalteten die zuständige Datenschutzbehörde ein, seine Kunden informierte das Unternehmen jedoch nicht. Denn euFlight hatte wohl Glück im Unglück: Wie eine Analyse der Log-Dateien ergab, hatten lediglich die Sicherheitsforscher die Sicherheitslücke gefunden und auf die offenliegenden Daten zugegriffen. Und so erläuterte Watermann, habe man auf eine Kundeninformation verzichtet – es seien schließlich keine Daten abhanden gekommen.
Deutlich jüngeren Datums ist ein zweites Datenleck, das ein anonymer Sicherheitsforscher dem CCC meldete. Es betrifft mit myRight ebenfalls ein LegalTech, das seinen Kunden hilft, Regressansprüche in vielen Lebensbereichen von Fahrradunfall bis Glücksspielverlusten geltend zu machen.
Mussten die Sicherheitsforscher bei euFlight zumindest noch den frei herumliegenden PHP-Quellcode des Backends auslesen, machte myRight es den Neugierigen noch leichter: Ein falsch konfigurierter Webserver im Netz der Amazon Webservices bot allerlei Dokumente zum Download an. Unter den offenliegenden Daten waren Dokumente zu offenen Rechtsstreitigkeiten des Unternehmens und dessen Partnerkanzleien. Wie Sicherheitsforscher Marx gegenüber heise security erläuterte, hätten Unberechtigte auf Ausweisdokumente, Fahrzeugbriefe, Listen getätigter Sportwetten und weitere Dokumente von bis zu 25.000 myRight-Kunden zugreifen können.
Diese Zahl mochte myRight-Geschäftsführer Bode uns nicht bestätigen – man ermittele noch, welche Kunden potentiell betroffen seien. Auch sei gut eine Woche, nachdem der CCC das Unternehmen und die zuständige Datenschutzbehörde am 27. Januar informiert hatte, noch unklar, wie lange der Webserver offen im Netz stand.
Am selben Tag nahm myRight auch den geschwätzigen Webserver vom Netz. Diesen ersetzt das Unternehmen nun durch eine besser geschützte Plattform zum Teilen von Daten, 2-Faktor-Authentifizierung und Zeitbegrenzung inklusive. Zudem plant myRight externe Pentests und Sicherheitsanalysen, so Bode, dessen Unternehmen seinerseits auch am 30. Januar die Aufsichtsbehörde alarmierte. Es gebe keine Hinweise auf unberechtigte Zugriffe, so Bode weiter, daher habe man auch die Kunden nicht informiert.
Für beide Unternehmen gingen die Datenlecks glimpflich aus – der Volksmund würde es als "mehr Glück als Verstand" bezeichnen. Immerhin nahmen beide die Hinweise ernst und flickten die verwundbaren Systeme prompt. Und: Anders als etwa die CDU oder Modern Solution stellten sie gegen die Hinweisgeber keine Strafanzeige. Deren Vorgehen stieß netzweit auf harsche Kritik und erzeugte einen "chilling effect": Aus Angst vor rechtlichen Repressalien gegen ihre Entdecker bleiben Sicherheitslücken häufig ungemeldet.
Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.https://heise.de/investigativ
Kommentare