Anbieter von Online-Formularen gehackt
05.07.2018, 12:01 Uhr
Grosser Datendiebstahl bei Typeform
So praktisch SaaS ist, das Konzept birgt auch grosse Risiken. Wenn wie jetzt etwa Typeform ein SaaS-Provider das Opfer eines Datendiebstahls wird, dann sind meist auch die Kunden des Anbieters betroffen.
Viele Unternehmen binden heutzutage immer wieder diverse Online-Umfragen in ihre Web-Seiten ein. Dabei greifen sie gerne auf vorgenerierte Formulare von externen Anbietern zu. Eines dieser Unternehmen, der spanische Software-as-a-Service-Spezialist (SaaS) Typeform, musste nun einen Datendiebstahl eingestehen, bei dem auch zahlreiche Datensätze von Kunden des Unternehmens geklaut worden sein sollen.
Der oder die Angreifer konnten sich laut Typeform Zugriff auf ein Backup von Anfang Mai dieses Jahres verschaffen. Darin enthalten waren API-Keys, Token zum Zugriff auf die von Typeform angebotenen Dienste und Zugangsdaten zu OAuth-Applikationen, aber auch Daten von Kunden, die Online-Formulare ausgefüllt hatten. Um welche Informationen es sich dabei genau handelte, teilte Typeform nicht mit. Laut Medienberichten meldeten sich aber bereits mehrere betroffene Unternehmen wie Fortnum & Mason. Wie das Londoner Kaufhaus mitteilte, wurden ihm etwa 23.000 Datensätze gestohlen. Sie enthielten E-Mail-Adressen, Antworten auf Fragen und teilweise auch Postadressen sowie andere private Informationen der Nutzer.
Späte Info per Mail
Mittlerweile meldeten sich laut The Register noch weitere Typeform-Kunden, die von dem Diebstahl betroffen sind. Sie wurden von dem Unternehmen Ende Juni per E-Mail informiert. Dabei soll es sich unter anderem um die australische Backkette Bakers Delight, den Hotelanbieter Travelodge, die britische Monzo-Bank, die australische Republikanische Bewegung sowie die tasmanische Wahlkommission handeln, denen jeweils Daten abhanden gekommen sein sollen. Im letztgenannten Fall waren es sogar Informationen, die aus einer Online-Wahl stammen sollen.
Laut Typeform wurden jedoch nur Daten gestohlen, die vor Anfang Mai erfasst wurden. Seit Bekanntwerden des Vorfalls habe man bereits eine umfassende Analyse der bislang getroffenen Sicherheitsmassnahmen vorgenommen und bereite nun weitere Schritte vor, um künftige Datendiebstähle zu verhindern.