[ziesell]

Zitat:

Datenleck: Mitgliederdaten mehrerer Cannabis-Clubs waren frei abrufbar

Potenzielle Angreifer konnten nicht nur persönliche Daten von Clubmitgliedern abgreifen, sondern auch deren Passwörter ändern und Clubdaten manipulieren.



Bei einer Canguard genannten und von der in Hameln ansässigen Thingbring GmbH entwickelten Software für die Verwaltung von Cannabis-Clubs gab es offenbar ein Datenleck. Dadurch war es Angreifern nicht nur möglich, allerhand persönliche Informationen über Clubmitglieder abzurufen, sondern auch deren Passwörter zurückzusetzen und Daten der jeweiligen Clubs zu manipulieren.

Entdeckt wurden die Sicherheitsprobleme vom Hackerkollektiv Zerforschung. Wie einem Blogbeitrag der Entdecker zu entnehmen ist, gab es bei Canguard offenbar mehrere ungesicherte API-Endpunkte, über die sich die Daten der registrierten Cannabis-Clubs sowie von deren Mitglieder ungehindert abrufen und verändern ließen.

Das Datenleck umfasst unter anderem vollständige Namen, E-Mail-Adressen, gehashte Passwörter, Geburtsdaten und Postleitzahlen. Darüber hinaus ließ sich auch feststellen, ob Nutzer nur Mitglied oder Clubbesitzer sind und welchem Cannabis-Club sie angehören. Unter Angabe einer fremden User-ID ließ sich den Forschern zufolge sogar das Passwort des zugehörigen Accounts beliebig ändern.

Legalisierung von Cannabis in Deutschland

Seit dem 1. April sind der Konsum, Besitz und Eigenanbau von Cannabis in Deutschland teillegalisiert. Ab Juli wird auch der gemeinschaftliche Anbau innerhalb nicht-gewerblicher Vereinigungen erlaubt sein. Diesen Anbauvereinigungen ist es dann außerdem gestattet, Cannabis für den Eigenkonsum kontrolliert an Erwachsene weiterzugeben.

Aus diesem Grund formieren sich derzeit bundesweit zahlreiche Cannabis-Clubs. Das neue Cannabis-Gesetz verpflichtet diese, Daten ihrer Mitglieder zu dokumentieren. Sie müssen nicht nur Namen, Geburtsdaten und Anschriften der Clubmitglieder vorhalten, sondern beim tatsächlichen Bezug von Cannabis auch Datum, Menge und THC-Gehalt protokollieren und diese Informationen für mindestens fünf Jahre verwahren.

Weitere Informationen zur Legalisierung von Cannabis sind auf der Webseite der Bundesregierung zu finden.

Canguard steckt offenbar noch "in den Kinderschuhen"

Mit Canguard bietet die Thingbring GmbH eine Plattform an, die Clubbesitzer dabei unterstützen soll, ihre Cannabis-Clubs zu verwalten. Nach Angaben von Zerforschung steckt das Projekt aber "erkennbar noch in den Kinderschuhen". Wenn ein Produkt marktreif genug sei, um Kundendaten zu speichern, müsse es auch reif genug sein, diese für sich zu behalten, kritisieren die Forscher.

Zerforschung meldete die Probleme nach eigenen Angaben schon am 27. März an Thingbring, die zuständige Landesdatenschutzbehörde von Niedersachsen und das CERT-Bund. Die Kommunikation mit dem Canguard-Entwickler verlief wohl seitdem alles andere als reibungslos. Details dazu sind im Blogbeitrag von Zerforschung zu finden. Am 4. April sei die Canguard-App aber abgeschaltet worden, erklären die Forscher. Einen Tag später habe Canguard seine Nutzer per E-Mail über das Datenleck informiert.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

fängt schon gut an