Notebookcheck Logo

CCC findet Datenlecks bei Legal-Tech-Firmen: 325.000 Nutzer von myright.de und euflight.de betroffen

Datenlecks bei Legal-Tech-Firmen (Bildquelle: Imagen3)
Datenlecks bei Legal-Tech-Firmen (Bildquelle: Imagen3)
Der Chaos Computer Club (CCC) hat erneut seine Expertise in Sachen IT-Sicherheit unter Beweis gestellt und massive Datenlecks bei zwei bekannten Legal-Tech-Unternehmen aufgedeckt. Betroffen sind insgesamt 325.000 Nutzer der Plattformen myright.de und euflight.de.
Hack / Data Breach Security Science

Die Daten von insgesamt rund 325.000 Nutzern der Plattformen myright.de und euflight.de sollen laut Chaos Computer Club (CCC) von Datenlecks betroffen sein.

Auf GitHub stieß ein Sicherheitsforscher auf den Quellcode des Backends von euFlight, einer Plattform, die sich auf Fluggastrechte spezialisiert hat. Hier waren die Daten von 300.000 Kunden nahezu ungeschützt. Der Quellcode des Backends, der unter anderem gültige Datenbank-Zugangsdaten enthielt, war frei zugänglich. Einige Datenbankserver waren sogar direkt aus dem Internet erreichbar, und Passwörter wurden mit veralteten und unsicheren Hashverfahren gespeichert. Zudem mangelte es an einer Zwei-Faktor-Authentifizierung beim Backend-Login. Wie Heise Online berichtet, bestand die Sicherheitslücke mindestens seit Juli 2024 und wurde im September 2024 dem CCC gemeldet. Laut euFlight-Geschäftsführer Lars Watermann kam es zu keinen Datenabflüssen. Außer dem CCC habe keiner auf die Kundendaten zugegriffen. Das Datenleck wurde außerdem umgehend gestopft und weitere Verbesserungshinweise des Hackers wurden umgesetzt.

Bei myright.de, einem Anbieter von Rechtsdienstleistungen im Bereich Diesel-Klagen und Glücksspiel, fanden die CCC-Experten ein offenes Verzeichnis, das den Zugriff auf 25.000 Kundendokumente ermöglichte. Darunter befanden sich Ausweisdokumente, Fahrzeugbriefe, Verträge, Vollmachten und sogar Transaktionslisten von Sportwetten. Ein alarmierender Fund, der die Frage aufwirft, wie der Anbieter mit derart sensiblen Daten umgeht. Denn hier mussten die Sicherheitsforscher aufgrund einer falschen Konfiguration keine Tricks anwenden, um an die Daten zu gelangen. Auch MyRights reagierte umgehend auf die Meldung und nahm den Server mit allen Daten vom Netz. Auch hier geben Sprecher der Firma gegenüber Heise Online an, dass keine Kundendaten an Dritte gelangt seien.

Die Enthüllungen des CCC zeigen auf erschreckende Weise, wie fahrlässig einige Unternehmen mit den persönlichen Daten ihrer Kunden umgehen. Die betroffenen Nutzer sind nun einem erhöhten Risiko für Betrug, Identitätsdiebstahl und andere Formen von Cyberkriminalität ausgesetzt. Immer wieder kommt es vor, dass gerade GitHub für Datenlecks sorgt. Zu oft vergessen Entwickler Passwörter und Schlüssel im Programmcode, der letztlich frei zugänglich ist. 

static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Sibel Health und Maruho entwickeln ...
Acebeam bringt flache EDC-Taschenla...
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
Mail Logo
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2025-02 > CCC findet Datenlecks bei Legal-Tech-Firmen: 325.000 Nutzer von myright.de und euflight.de betroffen
Autor: Marc Herter,  7.02.2025 (Update:  7.02.2025)