Bild: Pixabay

Potenzielle Angreifer konnten nicht nur persönliche Daten von Clubmitgliedern abgreifen, sondern auch deren Passwörter ändern und Clubdaten manipulieren.

Bei einer Canguard genannten und von der in Hameln ansässigen Thingbring GmbH entwickelten Software für die Verwaltung von Cannabis-Clubs gab es offenbar ein Datenleck. Dadurch war es Angreifern nicht nur möglich, allerhand persönliche Informationen über Clubmitglieder abzurufen, sondern auch deren Passwörter zurückzusetzen und Daten der jeweiligen Clubs zu manipulieren.

Entdeckt wurden die Sicherheitsprobleme vom Hackerkollektiv Zerforschung. Wie einem Blogbeitrag der Entdecker zu entnehmen ist, gab es bei Canguard offenbar mehrere ungesicherte API-Endpunkte, über die sich die Daten der registrierten Cannabis-Clubs sowie von deren Mitglieder ungehindert abrufen und verändern ließen.

Das Datenleck umfasst unter anderem vollständige Namen, E-Mail-Adressen, gehashte Passwörter, Geburtsdaten und Postleitzahlen. Darüber hinaus ließ sich auch feststellen, ob Nutzer nur Mitglied oder Clubbesitzer sind und welchem Cannabis-Club sie angehören. Unter Angabe einer fremden User-ID ließ sich den Forschern zufolge sogar das Passwort des zugehörigen Accounts beliebig ändern.