Datenschutz-Skandal bei Vermittlungsplattform für Reinigungskräfte: Adressen von Kunden, die Stockwerke ihrer Wohnungen, Steuernummern von Putzkräften – dies alles war auf dem Portal wegen einer Sicherheitslücke für Monate offen verfügbar.

Das Putzportal Helpling.de hatte offenbar seit Februar 2016 eine gravierende Sicherheitslücke im System mittels derer jede eingeloggte Person nicht nur die eigenen Rechnungen, sondern auch die Rechnungen anderer Kunden abrufen konnte. Helpling.de ist ein Unternehmen der Samwer-Brüder und vermittelt Reinigungskräfte gegen Provision an Privatleute.

Kinderleicht die Rechnungen anderer Kunden abrufen

Um die Lücke auszunutzen, musste man nur als Kunde eingeloggt sein. Ist man auf der Plattform eingeloggt, kann man seine Rechnungen einsehen. Diese sind mit einem Link der folgenden Logik abrufbar: https://www.helpling.de/invoices/XXXXXX. Erhöhte man dann einfach in der Adresszeile des Browsers die fortlaufende Nummer hinter der eigenen Rechnung, konnte man Rechnungen anderer Kunden sehen. Mit dieser sehr einfachen Methode, die keinerlei Programmierkenntnisse oder besondere Skills erfordert, hatte man Zugriff auf alle in diesem System im PDF-Format hinterlegten Rechnungen.

Wir konnten Rechnungen ausfindig machen von Mai 2014 bis Juli 2016. Die fortlaufenden Nummern hatten nach unseren Recherchen einen Zahlenbereich von etwa 800.000. In unserem stichprobenartigen Verfahren funktionierte etwa jede zweite Nummer, was auf offen im Netz stehende Rechnungen im mindestens niedrigen sechsstelligen Bereich schließen lässt. Mittels eines Scriptes wäre auch das automatische Auslesen und Herunterladen der Rechnungen möglich gewesen, auf das wir bei der Recherche bewusst verzichtet haben.

Wir haben probeweise und für Dokumentationszwecke dutzende Rechnungen unterschiedlicher Kunden aus dem gesamten Bundesgebiet für den Zeitraum Mai 2014 bis Juli 2016 heruntergeladen.

Rechnungen aus dem Zeitraum von Mai 2014 bis Juli 2016 abrufbar

Die Rechnungen enthalten:

Anschrift des Kunden, bei dem geputzt wird

oftmals Stockwerk und/oder Wohnung des Kunden

Kundennummer

Rechnungsnummer

teilweise Frequenz, in der geputzt wird (einmalig, wöchentlich, usw.)

Anzahl der Stunden und Kosten

Anschrift der Reinigungskraft

teilweise Steuer-ID der Reinigungskraft

Mit den so einfach abzugreifenden Daten sind verschiedene Missbrauchsszenarien möglich. Einerseits können alle Kunden und alle Putzkräfte des Portals sowie ihre Beziehungen untereinander rekonstruiert werden. Mit den Daten ist zudem Social Engineering möglich. Kriminelle könnten sich als Putzkräfte ausgeben und so z.B. an die Wohnungsschlüssel herankommen.

Nachdem wir die Sicherheitslücke überprüft hatten, haben wir die Datenschutzbeauftragte des Landes Berlin und dann das Unternehmen Helpling informiert. Helpling war zuerst nur per Mail erreichbar. Obwohl wir keine Details zur Sicherheitslücke in die Mail schrieben, schloss Helpling die Lücke innerhalb weniger Stunden ohne sich zurückzumelden.

Sicherheitslücke bestand mehrere Monate

Gegenüber netzpolitik.org sagt Philip Huffmann, Mitgründer von Helpling:

Vor wenigen Monaten haben wir unsere Technologie auf eine komplett neue Plattform umgestellt, die u.a. ein neues Rechnungssystem beinhaltet. Diese Umstellung hat mit hoher Wahrscheinlichkeit den unverschlüsselten Zugang zu den pdf-Rechnungen ermöglicht, sofern die URL dahingehend manuell geändert wurde.

Nach dieser Aussage ist es wahrscheinlich, dass die Sicherheitslücke seit Februar 2016 bestand. Das war der Zeitpunkt als Helpling auf die technologische Plattform seines Tochterunternehmens Hassle wechselte. Bekannt sei dem Unternehmen die Sicherheitslücke allerdings erst in dieser Woche geworden, sagt Huffmann.

Änderung der URL sei unlauteres Vorgehen

Eine interessante Lesart der Datenlücke findet sich zudem im Statement des Unternehmens. Dort heißt es:

Darüber hinaus war die Datenlücke nicht öffentlich zugänglich, sondern wurde erst durch unlauteres Vorgehen, in diesem Fall durch die Änderung der URL, ersichtlich.

Helpling möchte seine Kunden über die Sicherheitslücke zeitnah informieren, sagt die Pressesprecherin gegenüber netzpolitik.org.

Update:

Helpling hat seine deutschen Kunden mittlerweile über die Sicherheitslücke informiert. In der Mitteilung heißt es: „Durch eine kürzlich vorgenommene Systemänderung konnte im eingeloggten Zustand durch eine gezielte manuelle Änderung der URL theoretisch auf andere Kundenrechnungen im System zugegriffen werden.“ Der Zugriff war durch die oben beschriebene Methode auch praktisch möglich.

Zudem hat Helpling uns noch eine Nachricht geschickt, in der es heißt, dass die Sicherheitslücke erst Anfang Juni entstanden sei. In der Mitteilung von Freitag hatte es noch gehießen, dass die Lücke „wenige Monate“ bestanden habe.

Den Hinweis auf die Datenschutzlücke haben wir von unserem Leser Paul Eppner gesteckt bekommen. Paul ist Entwickler hinter der freien Mitfahrzentrale bessermitfahren.de.