MDXDave.de

Informatikstudent der TH Köln // Android + Coding

Laden...

Sicherheitslücke der LEG Immobilien AG

veröffentlicht vor 1 Monat, am 2. Juli 2019  |  aktualisiert vor 2 Tagen  |  LEG    Sicherheit    Sicherheitslücke    Datenpanne      |  0 Kommentare

Seit Mitte 2016 bin ich selbst ein Mieter bei der LEG Gruppe.

Genauer gesagt der LEG Rheinland Köln GmbH, die wiederum eine hunderprozentige Tocher der LEG Wohnen NRW GmbH ist.

Am Abend des 2. Juli 2019 wollte ich im Mieterportal der LEG (https://portal.leg-wohnen.de) nachschauen, ob neue Dokumente vorhanden sind. Dabei fiel mir eine eklatante Panne auf.

Über eine relativ einfache Möglichkeit innerhalb des Portals ist man in der Lage die Informationen aller Mieter der LEG Gruppe abzurufen. Darunter die persönlichen Daten (Name, alte und neue Anschrift), Informationen über das Mietverhältnis (Beginn, Gekündigt, Größe der Wohnung in Quadratmeter und Zimmer) sowie die aktuelle Kaltmiete zzgl. den Nebenkosten. Weiterhin die gezahlte Kaution. Zusätzlich ist es möglich das aktuelle Guthaben bzw. die Schulden eines Mieters einzusehen.

Noch schlimmer macht es da eigentlich nur die Tatsache dass sogar die entsprechenden Dokumente von Mietern abrufbar sind, die bereits seit mehreren Jahren nicht mehr an der angegebenen Wohnung wohnen.

Den Verstoß habe ich dem Landesbeauftragten für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen gemeldet (https://www.ldi.nrw.de/), weiterhin habe ich mehrere Medien über die Sicherheitslücke informiert, damit möglichst viele Mieter der LEG von der Datenpanne erfahren.

Ob diese bereits ausgenutzt wurde, ist mir natürlich nicht bekannt. Weiterhin ist der Personenkreis der diese Lücke ausnutzen konnte natürlich eingeschränkt, da zwingend ein Login für das LEG-Mieterportal vorhanden sein muss.

Dieser Umstand macht die Datenpanne in ihrere Gesamtheit allerdings nicht weniger schwer.

Im folgenden sind einige (anonymisierte) Screenshots, die das ganze Ausmaß der Datenpanne zeigen:

Eine große Anzahl der originalen PDF-Dateien (ungeschwärzt) liegen mir natürlich vor. Bei berechtigtem Interesse werde ich diese selbstverständlich weiterleiten.

Das Testen der verschiedenen Vertragsnummern wurde zu keinem Zeitpunkt durch das System unterbunden. Sofern eine Vertragsnummer nicht existierte, wurde kein Dokument ausgegeben. Interessanterweise habe ich jedoch öfter eine E-Mail der LEG erhalten, dass ein Dokument in meinem Mieterbereich zum Abruf stehen würde (dem natürlich nicht so war).

Screenshot Mail
Screenshot Mail

Update vom 3. Juli 2019, 10:35 Uhr:

Screenshot Wartungsarbeiten
Screenshot Wartungsarbeiten

Das Portal wird von der Aaeron Deutschland GmbH entwickelt und betrieben. Seit einigen Minuten ist das Portal aufgrund von Wartungsarbeiten deaktiviert.
Ob das Problem dabei behoben wird, werde ich nach Abschluss der Arbeiten überprüfen.

Update vom 3. Juli 2019, 16:30 Uhr:

Ich versuche bereits seit längerer Zeit die LEG telefonisch zu erreichen, leider sind die Wartezeiten wie immer unverhältnismäßig hoch. Eine andere Möglichkeit der schnellen Kontaktaufnahme sehe ich allerdings nicht.

Das Portal ist zwischenzeitlich wieder online. Und tatsächlich: Die Aaeron Deutschland GmbH scheint etwas geändert zu haben. Die Vertragsnummer lässt sich nun nicht mehr ganz so einfach ändern, da diese kodiert ist.
Dummerweise kann man diese nach wie vor ohne großen Aufwand manipulieren und kommt nach wie vor an alle Daten der Mieter.

Update vom 3. Juli 2019, 16:54 Uhr:

Nach knapp 40 Minuten habe ich dann einen Mitarbeiter erreicht, der das ganze sehr Ernst genommen hat und auch versucht hat einen Verantwortlichen des IT-Dienstleisters zu kontaktieren. Da dies offenbar nicht so ohne weiteres möglich war, hat er ein Ticket aufgenommen und dieses als Datenschutzproblem priorisiert. Außerdem meine Handynummer als Rückrufnummer bei weiteren Fragen. Ich habe aber auch explizit um Rückruf gebeten.


Update vom 3. Juli 2019, 16:57 Uhr:

Kurz nach dem Telefonat ist die Plattform erneut im Wartungszustand.


Update vom 3. Juli 2019, 17:08 Uhr:

Screenshot Facebook Kommentar
Screenshot Facebook Kommentar

Neben Twitter habe ich diesen Beitrag auch um 22:27 Uhr auf der Facebook-Seite der LEG geteilt (https://www.facebook.com/LEGWo...), die LEG hat diesen Kommentar gelöscht, ohne mich zu kontaktieren oder anderweitig darauf zu reagieren.

In Anbetracht der Tatsache dass es hier um sensible Daten der eigenen Mieter geht, hätte ich mir dort ein anderes Verhalten gewünscht. Statt diesen Beitrag veröffentlichen zu können, hätte ich auch einfach beliebige viele PDF-Dateien mit Kundendaten veröffentlichen können (die mir übrigens vor liegen).

Ich würde also die Verantwortlichen der LEG dringend bitte sich mit mir in Verbindung zu setzen und weiterhin die Mieter über die Datenschutz-Panne zu unterrichten!


Update vom 3. Juli 2019, 21:30 Uhr:

Wie zu erwarten hat sich natürlich niemand bei mir gemeldet bislang.

Dafür habe ich ein wenig Recherchiert und dabei herausgefunden dass die Aareon Deutschland GmbH mehrere Mieterportale für unterschiedliche Unternehmen betreibt. Darunter beispielsweise FLÜWO Bauen Wohnen eG, FROHE Zukunft Wohnungsgenossenschaft eG, Treptow Nord eG und vele mehr.

Möglicherweise bestehen auch hier dieselben Sicherheitslücken. Testen kann ich dies aber mangelnder Zugriffsdaten aber nicht.

Auch über eine Kontaktaufnahme seitens der Aareon Deutschland GmbH würde mich daher sehr freuen.

Update vom 4. Juli 2019, 11:02 Uhr:

Möglicherweise habe ich mit meiner Vermutung von gestern Abend ins schwarze getroffen, dass dieselbe Sicherheitslücke dort auch existiert. Mit Stand 11:02 Uhr heute morgen, sind alle anderen CRM-Portale ebenfalls im Wartungsmodus. Natürlich könnte dies auch ein Zufall sein - allerdings bezweifle ich das an dieser Stelle mal. Sollte eure Vermietungsgesellschaft also auch ein Mieterportal anbieten, sind eure Daten möglicherweise ebenfalls abgegriffen worden.

Update vom 4. Juli 2019, 12:03 Uhr:

Ich hatte soeben ein angenehmes Gespräch mit Herrn Klein aus der Abteilung "Legal and Risk Management" der Aareon Deutschland GmbH. Mir wurde einerseits bestätigt dass sich intensiv um die Behebung der Sicherheitslücke gekümmert wird und auch andere Abteilungen (Datenschutzabteilung, Rechtsabteilung etc.) mit dem Fall befassen. Andererseits bestätigte er mir auch, dass die Wartungsarbeiten im Zusammenhang mit der Sicherheitslücke stehen. Weiterhin wolle sich die LEG auch bei mir melden und ich würde über weitere Schritte informiert werden.

Ob und wie das ganze offiziell Kommuniziert werden soll, blieb im Gespräch aber offen. Zunächst einmal sei die Priorisierung ganz klar bei der Behebung der Sicherheitslücke. Mein Wunsch, die Mieter im Allgemeinen und die betroffenen Mieter zu informieren, dass persönliche Daten entwendet wurden oder zumindest die Möglichkeit dazu bestand, habe ich dabei mit Nachdruck geäußert. Hierüber würden aber die Vermietungsgesellschaften selbst entscheiden und informieren. Zumindest im Falle der LEG solle ich aber in den Prozess eingebunden werden. Ich bin auf jeden Fall gespannt, wie sich das ganze entwickelt und ob die LEG bzw. die anderen Vermietergesellschaften so rechtschaffend sind und diese Panne nach Behebung der Lücke offen kommunizieren - unabhängig davon ob dies durch die Verletzung der Datenschutzgrundverordnung (DSGVO) oder sonstiger rechtlicher Aspekte notwendig ist oder nicht.

Update vom 5. Juli 2019, 16:04 Uhr:

Screenshot Google Analytics
Screenshot Google Analytics

Auch wenn sich die LEG nach wie vor - trotz meines ausdrücklichen Wunsches - nicht bei mir gemeldet hat, so ist sie offenbar aber mittlerweile zumindest selbst auf diesen Beitrag aufmerksam geworden. 🤓


Update vom 6. Juli 2019, 22:02 Uhr:

Die LEG hat tatsächlich reagiert. Das ganze zunächst ohne Kommentar meinerseits. Ich werde mich hierzu in den nächsten Tagen schriftlich äußern.

Update vom 19. Juli 2019, 2:15 Uhr:

Ein kurzes Update: Die LEG hat sich nach wie vor nicht bei mir gemeldet. Ich stehe im Kontakt mit dem WDR, der über die Datenschutzpanne berichten will. Die LDI hat bestätigt, dass die LEG den Vorfall gemeldet hat (nach mir) und dieser in Bearbeitung sei. Das Schreiben der LEG, welches an Mieter versendet wurde, deren Daten ich im Rahmen der Entdeckung der Sicherheitslücke aufgerufen habe, enthält falsche Behauptungen und Lügen. Die LEG ist in meinen Augen (Achtung, freie Meinungsäußerung!) nicht nur unfähig, die Sicherheit der Mieterdaten zu garantieren, sondern besitzt dazu ein katastrophales Krisenmanagement und eine Presse-Abteilung, die lieber als (fast) einziges die eigenen Beiträge auf Twitter liked (Sabine Jeschke ist Pressesprecherin), statt sich ehrlich zu dem Vorfall zu äußern und dazu zu stehen, ein Mieterportal zu betreiben, welches eine eklatante und leicht auszunutzende Sicherheitslücke besaß.

Zum Thema Sicherheit der Mieterdaten: Bis heute - 16 Tage nach dem Vorfall - wurde ich von niemandem dazu aufgefordert oder darum gebeten alle Daten zu löschen. Lediglich Daniel Klein von der Aareon erwähnte im Gespräch vom 4. Juli, dass er sich nochmal bei mir melden würde, damit ich ihm bestätigte die Daten gelöscht zu haben - was natürlich nicht geschah. Ich habe die Mieterdaten die in Verbindung mit dem Vorfall stehen allerdings auch ohne explizite Aufforderung gelöscht. Der ganze Vorfall zeigt für mich sehr deutlich wie egal der LEG die Mieter wirklich sind.

Update vom 23. Juli 2019, 16:34 Uhr:

Der WDR hat inzwischen über die Lücke berichtet (ab 3:45).

Das Mieterportal der LEG ist nach 21 Tagen wieder online.

LEG Mieterportal - Zugang gesperrt


Offenbar hat die LEG mein Konto gelöscht, eine Anmeldung mit meinen ursprünglichen Nutzerdaten ist nicht mehr möglich. Möglicherweise handelt es sich hier auch um einen Zufall, ich schließe das aber an der Stelle mal aus.
Da ich aber noch die ursprüngliche Registrierungsnummer der LEG besitze, habe ich mir einfach ein neues Konto angelegt. Der Zugriff damit funktioniert wieder normal. Allerdings nur rund eine Stunde - danach wurde mein Konto gesperrt.

Mein eigentliches Anliegen, nämlich dass die Sicherheitslücke beseitigt wird, ist im übrigen offenbar erfolgreich gewesen: es scheint nicht mehr möglich sein, Daten dritter abzurufen.

Aus diesem Grund veröffentliche ich jetzt auch die genauen Details der Lücke, die ich bisher öffentlich nicht bekanntgegeben hatte (anders als die LEG das behauptet!).

Im unten eingebundenen Video seht ihr gut, was genau die Datenpanne war. Das Video wurde nachgestellt - das Mieterportal zu diesem Zweck von mir nachgebaut. Darum ist auch im Browser neben der Adresse der Hinweis "Nicht Sicher" zu sehen.


Update vom 21. August 2019:

Ich habe am 26. Juli 2019 bei der LEG ein Auskunftsverlangen nach Art. 15 der Datenschutzgrundverordnung (DSGVO) gestellt.

Weiterhin habe ich die LDI auch darüber informiert, dass die anderen Portale der Aareon Deutschland GmbH ebenfalls einige Tage offline waren und die Sicherheitslücke vermutlich auch hier bestand. Im konkreten Fall habe ich die Meldung mit Auflistung der folgenden Portale versendet:

Laut Schreiben der LEG wurde die DSGVO-Auskunft am 16. August 2019 erstellt und an mich versendet. Im folgenden die sehr Interessanten gespeicherten Tickets/Notizen im Bezug auf die Sicherheitslücke. Die LEG hat wohl die Mitarbeiter "gewarnt" Äußerungen jeglicher Art zur Sache zu machen und mich stattdessen an die Rechtsabteilung weiterzuleiten (ist im übrigen nie geschehen) - die weißen Stellen sind übrigens von der LEG selbst unkenntlich gemacht:

Auskunftsverlangen nach Art. 15 DSGVO
Auskunftsverlangen nach Art. 15 DSGVO (anklicken zur größeren Ansicht)

Linksammlung

Im folgenden eine (unvollständige) Sammlung zu Berichten über die Sicherheitslücke und dem Verhalten der LEG.