Der Chaos Computer Club (CCC) hat erneut schwerwiegende Sicherheitslücken bei zwei Legal-Tech-Plattformen aufgedeckt. Betroffen sind die Anbieter myRight.de und EUflight.de, bei denen sensible Daten von insgesamt rund 325.000 Nutzer*innen ungeschützt zugänglich waren. Die Enthüllungen des CCC zeigen einmal mehr, wie nachlässig viele Unternehmen mit personenbezogenen Daten umgehen – und wie dringend notwendig strengere Sicherheitsstandards sind.

myRight.de: Daten von 25.000 Nutzer*innen frei zugänglich

Bei myRight.de, einer Plattform, die unter anderem Klagen im Zusammenhang mit Diesel-Fahrzeugen und Glücksspiel unterstützt, waren Daten von 25.000 Kund*innen über sogenannte *Directory Listings* frei abrufbar. Diese technische Schwachstelle ermöglichte es, alle Dateien in einem Ordner aufzulisten und zum Download anzubieten.

Ein einfacher Zugriff auf die IP-Adresse reichte aus, um massenhaft sensible Dokumente einzusehen. Darunter befanden sich:

• Ausweisdokumente,
• Fahrzeugbriefe und Fahrzeugscheine,
• Verträge, Vollmachten und Abtretungserklärungen,
• sowie Transaktionslisten von Sportwetten.

Der CCC betont, dass es sich hierbei um „technisch langweilige, aber deshalb auch sehr einfach auszunutzende Schwachstellen“ handelt. Genau diese Einfachheit mache sie jedoch besonders gefährlich.

EUflight.de: 300.000 Nutzerdaten kaum geschützt

Noch gravierender war das Datenleck bei EUflight.de, einer Plattform, die Fluggäste bei der Durchsetzung ihrer Rechte unterstützt. Hier waren die Daten von 300.000 Kund*innen kaum geschützt. Der Quellcode des Backends war frei zugänglich und enthielt gültige Datenbank-Zugangsdaten. Einige der Datenbank-Server waren sogar direkt aus dem Internet erreichbar.

Die Sicherheitsmängel bei EUflight.de im Überblick:

• Passwörter wurden mit dem veralteten und unsicheren Hashverfahren md5 gespeichert.
• Beim Backend-Login wurde kein zweiter Faktor (2FA) verlangt.
• Mehrere Nutzer, darunter ein „Superadmin“, verwendeten dasselbe, extrem einfache Passwort.

Der CCC bezeichnete diese Sicherheitslücken als „erschreckend fahrlässig“ und wies darauf hin, dass solche Fehler in der IT-Sicherheit längst hätten vermieden werden können.

CCC meldet Lecks an Unternehmen und Behörden

Der CCC hat beide Datenlecks umgehend den betroffenen Unternehmen sowie den zuständigen Datenschutzbehörden gemeldet. Beide Plattformen haben die Lecks inzwischen geschlossen. Allerdings behaupten die Unternehmen, dass nur der CCC auf die Daten zugegriffen habe. Diese Aussage lässt sich jedoch nicht unabhängig verifizieren – und angesichts der Schwere der Lecks ist es durchaus möglich, dass auch Dritte Zugriff hatten.

Forderung nach mehr Verantwortung im Umgang mit Daten

Der CCC nutzt die Enthüllungen, um erneut auf die Bedeutung von Datensicherheit hinzuweisen. „Es sind immer wieder die gleichen, technisch langweiligen Schwachstellen, die ausgenutzt werden“, heißt es in der Mitteilung des CCC. „Gerade weil sie so einfach auszunutzend sind, ist es uns wichtig, auf das Schließen der Lecks hinzuwirken.“

Die Forderung des CCC ist klar: Unternehmen müssen endlich verantwortungsbewusster mit sensiblen Daten umgehen. Dazu gehören:

• Die Implementierung moderner Sicherheitsstandards,
• die Verwendung aktueller Verschlüsselungsverfahren,
• sowie die Einführung von Zwei-Faktor-Authentifizierung (2FA).

Fazit: Ein Weckruf für die Digitalbranche

Die jüngsten Enthüllungen des CCC sind ein weiterer Weckruf für die Digitalbranche. Datenlecks wie bei myRight.de und EUflight.de sind kein Kavaliersdelikt, sondern gefährden die Privatsphäre und Sicherheit Hunderttausender Menschen. Es ist an der Zeit, dass Unternehmen ihre Verantwortung ernst nehmen und endlich angemessene Maßnahmen zum Schutz sensibler Daten ergreifen.

Der CCC hat einmal mehr bewiesen, wie wichtig seine Arbeit ist – nicht nur als Aufdecker von Sicherheitslücken, sondern auch als Mahner für mehr Datenschutz und IT-Sicherheit.

---

Dieser Artikel wurde unter Einhaltung journalistischer Standards verfasst und basiert auf öffentlich zugänglichen Informationen. Wir distanzieren uns ausdrücklich von rechtsextremen, faschistischen und antidemokratischen Positionen.

---

Tags: CCC, Datenschutz, Datenleck, myRight, EUflight, IT-Sicherheit, Legal-Tech
Kategorien: Datenschutz, Technologie, Sicherheit