Seit geraumer Zeit hat der CCC auch technisch langweilige, aber folgenschwere Datenlecks im Blick. Legal-Tech-Plattformen waren in der Vergangenheit bereits betroffen. Die Plattform advocado.de reiht sich in diese Tradition nun mit einem öffentlich erreichbaren Symfony-Profiler ein.

Dieses zur internen Fehlersuche vorgesehene Werkzeug machte interne Server-Parameter sichtbar. Darunter befand sich ein gültiger Zugang zu einem git-Repository, das neben Quellcode auch weitere Zugangsdaten enthielt ‒ unter anderem für einen Fax-Dienst, Zahlungsdienstleister und die Dateiablage bei AWS S3. Dort konnte auf zahlreiche hochgeladene Dokumente, darunter Ausweiskopien oder Inkasso-Schreiben, Rechnungen von Kanzleien und Gerichten sowie Bild- und Tonaufzeichnungen von Gesprächen zugegriffen werden.

Der CCC hat den Anbieter informiert, advocado.de reagierte zeitnah auf die Meldung. Der Club empfiehlt grundsätzlich, Debug-Schnittstellen konsequent abzusichern, Zugangsdaten nicht im Klartext zu versionieren und die Speicherung sensibler Daten wie Ausweiskopien grundsätzlich zu hinterfragen.

Auch das Framework Symfony könnte mehr dafür tun, das versehentliche Exponieren des Profilers zu erschweren, etwa durch eine verpflichtende Authentifizierung.