Ein Nextcloud-Datenleck legte rund 367.000 interne Datensätze offen, nachdem eine Fehlkonfiguration der Hosting-Umgebung eine Elasticsearch-Datenbank öffentlich zugänglich gemacht hatte. Zu den offengelegten Daten gehörten Rechnungen, Verträge, Mitarbeiterinformationen, E-Mails und Infrastrukturskripte.

Forscher entdeckten die offen zugängliche Datenbank am 18. Mai. Nextcloud sicherte sie zwei Tage nach Eingang einer verantwortungsvollen Meldung der Sicherheitslücke. Das Unternehmen erklärt, der Vorfall habe keine von Kunden betriebenen Server betroffen, und es gebe keine Hinweise darauf, dass Angreifer auf die Daten zugegriffen hätten.

Fehlkonfiguration der Hosting-Umgebung legte die Datenbank offen

Der offengelegte Elasticsearch-Cluster enthielt fast 8 GB interner Nextcloud-Daten.

Nextcloud bietet selbst gehostete Cloud-Software an, mit der Unternehmen ihre Dateien auf der eigenen Infrastruktur statt bei öffentlichen Cloud-Anbietern speichern können. Die offengelegte Datenbank gehörte jedoch zur eigenen Hosting-Umgebung von Nextcloud und nicht zu Kundeninstallationen.

Nach Angaben des Unternehmens führte eine Fehlkonfiguration der Hosting-Infrastruktur zu der Offenlegung. Gleichzeitig betonte Nextcloud, dass das Problem nicht die Nextcloud-Plattform selbst betraf.

Nach Abschluss der Untersuchung meldete das Unternehmen den Vorfall zudem der zuständigen staatlichen Datenschutzbehörde.

Tausende sensible Dateien wurden offengelegt

Die Forscher fanden eine große Zahl interner Dokumente in der Datenbank.

Zu den offengelegten Dateien gehörten Rechnungen, Verträge, E-Mails und Mitarbeiterinformationen. Außerdem fanden die Forscher Shell- und Python-Skripte, die Kunden für die Bereitstellung und Verwaltung von Nextcloud-Umgebungen verwenden.

Einige dieser Skripte enthielten fest hinterlegte Datenbankzugangsdaten. Darüber hinaus entdeckten die Forscher unverschlüsselte E-Mail-Inhalte, geschäftliche E-Mail-Adressen, Informationen zur Dateifreigabe, Dokumentmetadaten sowie MD5-Hashwerte.

Mehrere Datensätze enthielten außerdem Informationen über Kundenorganisationen, darunter Geschäftsvereinbarungen, Projektdetails und den Umfang der jeweiligen Implementierungen.

Kunden- und Mitarbeiterdaten waren Teil des Datenlecks

Die offengelegten Rechnungen enthüllten E-Mail-Adressen von Mitarbeitern, Kundennamen, Geschäftsadressen und Kontaktdaten.

Die Forscher identifizierten außerdem E-Mail-Domains großer Hosting-Anbieter, darunter IONOS und STRATO. Einige Datensätze verwiesen zudem auf deutsche öffentliche Einrichtungen, darunter das Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen.

Darüber hinaus enthielt die Datenbank Listen von Nutzern, die sich für Beta-Funktionen und andere Nextcloud-Integrationen registriert hatten. Diese Datensätze legten vollständige Namen und geschäftliche E-Mail-Adressen offen.

Nextcloud erklärt, dass Kundensysteme sicher blieben

Nach Angaben von Nextcloud betraf der Vorfall ausschließlich die interne Hosting-Infrastruktur des Unternehmens.

Das Unternehmen erklärt, dass die Angreifer weder auf Kundensysteme noch auf Partnerumgebungen oder andere Nutzerinstallationen zugreifen konnten. Die Untersuchung ergab außerdem keine Hinweise darauf, dass jemand die offengelegte Datenbank ausnutzte, bevor Nextcloud sie absicherte.

Obwohl die Forscher keine Anzeichen für unbefugte Zugriffe fanden, warnen sie davor, dass automatisierte Scan-Systeme das Internet fortlaufend nach offen zugänglichen Datenbanken durchsuchen. Daher könnten auch andere Akteure die Datenbank entdeckt haben, bevor das Problem behoben wurde.

Forscher warnen vor Phishing- und Sicherheitsrisiken

Das Nextcloud-Datenleck könnte das Risiko gezielter Phishing-Angriffe auf Mitarbeiter und Kunden erhöhen.

Angreifer könnten die offengelegten Rechnungen, Verträge und E-Mail-Adressen nutzen, um überzeugende Phishing-Kampagnen zu erstellen und sich dabei als vertrauenswürdige Kontakte auszugeben. Die veröffentlichten Bereitstellungsskripte könnten außerdem dabei helfen, Schwachstellen in den Umgebungen der Kunden zu identifizieren und dadurch zukünftige Angriffe erfolgreicher zu machen.

Der Vorfall zeigt, wie eine einzige Fehlkonfiguration der Infrastruktur große Mengen sensibler Unternehmensdaten offenlegen kann, selbst wenn die Systeme der Kunden selbst nicht betroffen sind.


0 Kommentare zu „Nextcloud-Datenleck legt 367.000 interne Datensätze nach Hosting-Fehler offen“