Wie wir herausfanden, dass eine App die Daten von mehr als 1 Mio. portugiesischen Bürgern offenlegt

Please find an english version of this article here

Wer unsere Firma kennt, der weiß vielleicht, dass wir nicht nur ein Büro in Frankfurt haben, sondern auch eines in der wunderschönen, portugiesischen Hauptstadt Lissabon, wo auch unser Head of Development, João Santos lebt, arbeitet und… klar… auch Wasser verbraucht.

So stolperte er als Wasserverbraucher und App-Nutzer vor etwa zwei Wochen über die App “MyAqua” der portugiesischen Firma EPAL, die sich um die Wasserversorgung nicht nur in Lissabon, sondern generell in einigen der größten Ballungsräume Portugals kümmert.

Screenshots der “myAqua”-App des portugiesischen Wasserversorgers EPAL

Die MyAqua-App bietet ihren Nutzern eine ganze Menge: Man kann seine Vertragsdaten ändern, Rechnungen einsehen und die Zahlungsmodalitäten ändern oder Störungen in der Wasserversorgung melden. Um all dies in der App darstellen zu können und stets aktuell zu halten, ist eine Schnittstelle zu einer Datenbank notwendig, wo die Daten zentral liegen. Eine solche Schnittstelle wird übrigens API genannt. Haben Sie vielleicht schon mal gehört. So weit, so normal, jedenfalls.

João hingegen ist bei solchen Dingen eher skeptisch. Immerhin ist es ein wichtiger Teil seines Jobs, absolut sicherzustellen, dass die Apps unserer Kunden gegen unberechtigten Zugriff von außen geschützt sind. Und er weiß, was schiefgehen kann, wenn man diese Verantwortung nicht ernst nimmt.

Er simulierte also dieselbe API-Anfrage, die normalerweise die MyAqua-App an den Server sendet mit einem Testing-Tool. Ein solches Tool wird üblicherweise im Rahmen von Softwareentwicklungen dazu verwendet, genau diese Art von Sicherheitstests durchzuführen. Diese Tools sind frei verfügbar und jeder, der sich auch nur hobbymäßig mit Softwareentwicklung auseinandersetzt, hat sie mit größter Wahrscheinlichkeit bereits genutzt. Dies ist also keiner dieser “Soziophober-Nerd-besorgt-sich-verbotene-Tools-im-Darknet-und-tut-damit-halbseidene-Dinge-die-wir-eigentlich-nicht-kapieren”-Fälle.

Offen erreichbare, persönliche Daten von mehr als einer Millionen Wasserkunden

Also zurück zum Thema: João probierte aus, was von der Datenbank zurückkommt, wenn man in dem Tool seine EPAL-Kundennummer eingibt. Und spaßeshalber auch einfach mal, was zurückkommt, wenn man irgendeine zufällige EPAL-Kundennnummer eingibt.

Und was er dann — wohlgemerkt nach ungefähr 3 Minuten Aufwand — sah, übertraf seine übelsten Befürchtungen: Ohne die Notwendigkeit einer weiteren Authentifizierung wäre es jedermann möglich gewesen, über die Eingabe jeder möglichen Kundennummer an die vollständige Kundenkartei dahinter zu gelangen. Jeder hätte für jede existierende EPAL-Kundennummer unter anderem folgende Daten einsehen können:

  • Telefonnummern
  • E-Mail-Adressen
  • Wasserverbrauch
  • Personalausweis- und Steuernummern
  • Zahlungsmodalitäten
  • Rechnungs- und Verbrauchsadressen
  • Anzahl der dort wohnenden Menschen

– und das für mehr als eine Millionen Wasserkunden. Und zusätzlich die Daten von 14 Versorgungsfirmen, mit denen die EPAL zusammenarbeitet. All diese Daten hätten für Eindringlinge völlig offen gelegen und wurden darüber hinaus noch nicht einmal über eine verschlüsselte Verbindung übertragen (was aber ohnehin die Katastrophe nicht mehr verhindert hätte).

Der Tag, an dem mir João in Slack von seiner Entdeckung berichtet. Ich glaube, man kann mein “Erstaunen” in etwa erahnen…

Niemals zuvor wurde in der Geschichte Portugals ein so großes Datenleck in einem Unternehmen öffentlich!

Man muss sich das einmal auf der Zunge zergehen lassen: Stellen Sie sich vor, Sie sitzen bequem mit einer Tasse Tee vor Ihrem Computer im warmen Zimmer, haben ein Eingabefeld vor sich auf dem Monitor und können dort jede x-beliebige, erratene oder bekannte Kundennummer eines Wasserkunden eingeben und kommen an sämtliche oben genannten Daten der dahinter liegenden Person. Ich bin mir zwar sicher, dass speziell Sie zwar eine absolut ehrliche Haut sind, aber ich glaube, dass Sie selbst dann nicht allzu viel Fantasie dafür aufwenden müssen, um sich vorzustellen, was jemand mit einem solchen Datenschatz anstellen könnte, der nicht immer nur das Beste im Sinn hat.

João also tat zwei Dinge:

Zuerst wendete er sich umgehend an die Firma EPAL, um die Leute dort darauf hinzuweisen, dass da bei ihnen eine Tür zum Hochsicherheitstrakt dauernd offen steht. In der E-Mail bot er ihnen an, direkt zu ihm Kontakt aufzunehmen, um ihnen näher zu erklären, wo das Risiko liegt. Das war am 28. August 2017.

Doch die EPAL, zu deren wichtigsten Werten laut ihrer Website “Integrität” und “Verantwortung” zählen, sah keine Notwendigkeit, auf Joãos E-Mail zu reagieren.*

Also schickte er zwei Tage später eine weitere E-Mail an die portugiesische Datenschutzbehörde CNPD, um dort ebenfalls das Problem darzustellen und noch einmal explizit darauf hinzuweisen, dass dies deutlich gegen die Datenschutzbestimmungen der Firma EPAL verstößt.

Als letzte Eskalationsstufe entschied sich João schließlich dazu, sich an die Zeitschrift “Exame Informática” zu wenden, deren Mitarbeiter ihrerseits wiederum versuchten, EPAL zu kontaktieren mit dem Hinweis darauf, dass sie dieses Sicherheitsleck öffentlich machen müssen, falls das Unternehmen nicht reagiere. Das war am Dienstag der vergangenen Woche, also am 5. September. Am gestrigen Samstag, dem 9. September 2017 wurde der Artikel zu dem Thema bei Exame Informática veröffentlicht.

Der Artikel zum EPAL-Datenleck auf der Startseite der “Exame Informática”

Am selben Abend noch war die unsichere API von EPAL plötzlich offline.

Die Sicherheitsrisiken sind immens

João vermutet, dass der Fehler dadurch entstanden ist, dass die EPAL-Programmierer bei der Entwicklung nicht sauber von der (normalerweise wenig gesicherten und ausschließlich mit Testdaten gefütterten) Entwicklungsversion zur Live-Version gewechselt sind.

Es mag wie ein wenig Schludrigkeit erscheinen, doch die Sicherheitsrisiken, die sich mit einem solchen Lapsus ergeben, sind immens: Über die Kontaktmöglichkeiten per E-Mail, Post und Telefon, und die weiteren, offengelegten Daten könnte sich zum Beispiel jeder auch nur halbwegs überzeugende Mensch als EPAL-Mitarbeiter vorstellen, damit Vertrauen erwecken und das Opfer zu Geldzahlungen nötigen, Zutritt zur Wohnung erlangen, und so weiter.

Eine andere Möglichkeit wäre, dass Identitäten gefälscht werden und der EPAL selbst Kunden vorgetäuscht werden, die in Wirklichkeit gar nicht existieren. Ein großer, wirtschaftlicher Schaden wäre dann die Folge.

Die EPAL jedenfalls scheint nicht allzu alarmiert zu sein. Sie erklärte der “Exáme Informática” gegenüber, dass es in der Vergangenheit keinerlei Hinweise auf Probleme mit der MyAqua-App gegeben hätte.

Wollen wir es für die eine Millionen Kunden hoffen, dass das stimmt. Und hoffen wir ebenfalls, dass die EPAL sich vielleicht doch noch entschließt, dieses Sicherheitsleck ernst zu nehmen und zu fixen.

Der Aufwand dafür wäre übrigens — gemessen am potenziellen Schaden — sehr überschaubar.


*Die Firma EPAL hat sich mittlerweile bei uns gemeldet und angekündigt, das Leck zu schließen. Künftig werden also voraussichtlich die Daten der Kunden wieder sicher sein.


Tim Wiengarten ist geschäftsführender Gesellschafter der rabbit mobile GmbH, einer Agentur für die Entwicklung digitaler Businessanwendungen mit Mobile-First-Ansatz.

João Santos ist Head of Development bei der rabbit mobile GmbH. Er hat im oben beschriebenen Fall das bisher größte, bekannte Datenleck in der Geschichte Portugals aufgedeckt.

rabbit mobile unterstützt seine Kunden von konzeptionell-strategischen Vorüberlegungen bis hin zur Realisierung und Pflege laufender Anwendungen, sowie deren Integration in eine bestehende Systemlandschaft. Ach ja: und auch dabei, Enterprise-Apps gegen Zugriffe von außen zu schützen…

Sie erreichen Tim Wiengarten hier auf Xing, hier auf LinkedIn oder:
via E-Mail:
t.wiengarten@rabbit-mobile.de
via Telefon: +49 69 256288–240

Like what you read? Give Tim Wiengarten a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.