Home

Blog

News

Droite au Coeur: Die Enthüllung des ersten Bubble.io Sicherheitsskandals

Also available in :

Victor Nihoul

Aug 7, 2023

In den letzten Jahren haben No-Code-Entwicklungsplattformen an Popularität gewonnen und den Prozess der App- und Website-Erstellung demokratisiert. Bubble.io steht an vorderster Front dieser Bewegung und wird für seine benutzerfreundliche Oberfläche und vielfältigen Funktionen geschätzt. Doch kürzlich erschütterte ein beispielloses Ereignis die Bubble.io-Community: Ein bedeutender Datenverstoß in einer auf der Plattform erstellten Anwendung. Zum ersten Mal war eine mit Bubble.io erstellte App öffentlich in einen Datenschutzskandal verwickelt, da sensible Benutzerinformationen online durchgesickert und über Twitter weit verbreitet wurden. Der Vorfall zog erhebliche Aufmerksamkeit auf sich und wurde sogar von nationalen französischen Fernsehsendern behandelt. Dies markierte den ersten großen öffentlichen Skandal im Zusammenhang mit der Bubble.io-Sicherheit und ihren Datenschutzmaßnahmen. In einer aufschlussreichen Mitteilung beklagte Stéphane, CEO von "Droite au Coeur" :

X, das Unternehmen, das die Website entwickelt hat, hat uns anfangs Vertrauen gegeben und uns bezüglich der Sicherheit versichert. [...] Allerdings ist dies nicht geschehen, und die Nachverfolgung war bedauerlich.

Wie aus dem Französischen übersetzt, betonte Stéphane die Not, die durch die Umstände verursacht wurde. In diesem Artikel werden wir uns mit den Einzelheiten des Verstoßes, der anschließenden Lösung, den zugeordneten Verantwortlichkeiten und den weitreichenden Auswirkungen dieses Ereignisses eingehend befassen.

‍

Der Vorfall im Detail

Die Enthüllungen von Mathis Hammel

Am 29. Juli 2023 veröffentlichte Mathis Hammel, ein Nutzer auf Twitter, einen schockierenden Tweet. Er forderte das Team hinter der Dating-Website @CoeurDroite unmissverständlich auf, die Cybersicherheit zu priorisieren, und enthüllte, dass ihre gesamte persönliche Datenbank anfällig für einen Verstoß war. Hammel deckte die Schwachstelle der Plattform auf, die wichtige Informationen wie den Familienstand, die sexuelle Orientierung und E-Mail-Adressen umfasste.

Hallo @CoeurDroite , wäre es eine gute Idee, sich für Cybersicherheit zu interessieren? Es ist möglich, die gesamte persönliche Datenbank Ihrer Dating-Website in wenigen Sekunden preiszugeben: Familienstand, sexuelle Orientierung, E-Mail-Adresse...

‍

Bonjour @CoeurDroite, ce serait peut-être une bonne idée de s'intéresser à la cybersécurité ?

Il est possible de faire fuiter en quelques secondes toute la base de données personnelles de votre site de rencontres : statut marital, orientation sexuelle, adresse email... https://t.co/DV5FcY6XBI pic.twitter.com/8HYwEVUOPP
— Mathis Hammel (@MathisHammel) July 29, 2023

‍

Die kompromittierte App "Droite au Coeur" ist eine Dating-Website für französische Patrioten, die oft mit rechtsextremen politischen Zugehörigkeiten in Verbindung gebracht wird. Diese ideologische Ausrichtung machte sie wahrscheinlich zu einem attraktiven Ziel. Hammel erläuterte in nachfolgenden Tweets die Art des Verstoßes und betonte die überraschende Leichtigkeit, mit der er die Schwachstelle entdeckt hatte - einfach durch Drücken von F12. Das Hauptproblem lag in den laxen Datenschutzregeln, die die Datenbank der App offenlegten und für Personen mit grundlegendem Wissen über die Debugging-Tools eines beliebigen Browsers leicht zugänglich machten. In der Folgezeit kontrastierten Hammel und andere Twitter-Nutzer humorvoll die Realität dieses Verstoßes - seine erstaunliche Einfachheit - mit den vorgestellten Komplexitäten des Hackings.
‍

Wie die Menschen sich Piraterie vorstellen vs. was tatsächlich passiert ist

Comment les gens imaginent le piratage

vs

Ce qui s'est vraiment passé pic.twitter.com/RvtMAqnHS8
— Mathis Hammel (@MathisHammel) July 29, 2023

‍

Die Art der offengelegten Daten

Ursprünglich schien der Datenleck hauptsächlich aus Benutzerdetails zu bestehen, die über die App öffentlich zugänglich sein sollten (wie sexuelle Orientierung, Familienstand). Angesichts der politischen Ausrichtung der Website könnte das Leck jedoch Benutzer einem Risiko aussetzen, das von ideologisch motivierter Zielausrichtung getrieben ist. Ein einfaches Skript könnte den Export der gesamten Datenbank ermöglichen, einschließlich der Liste der Benutzer.

Mit zunehmender Klarheit über das Ausmaß des Verstoßes wurde deutlich, dass auch andere nicht-öffentliche Daten kompromittiert worden waren. Dazu gehörten E-Mail-Adressen und am besorgniserregendsten genaue Geokoordinaten und Postadressen ohne jede Verschleierung.

In Bezug auf die Cybersicherheit haben wir festgestellt, dass Benutzer unbeabsichtigt ihre vollständige Adresse als Antwort auf eine Aufforderung für ihre Postleitzahl angegeben haben.

Aufgrund der politischen Natur der App setzte das durchgesickerte Daten die Benutzer einem hohen Risiko von Belästigung und Verletzung der Privatsphäre aus. Darüber hinaus verstieß der Datenverstoß gegen mehrere Vorschriften, einschließlich der europäischen DSGVO und der französischen Datenschutzgesetze, was potenziell rechtliche Konsequenzen für die App nach sich ziehen könnte.

‍

Unmittelbare Folgen und Auswirkungen

Der Tweet verbreitete sich schnell viral und erzielte fast sechs Millionen Aufrufe - wahrscheinlich aufgrund der politischen Implikationen des Verstoßes. Als Twitter-Nutzer mit dem ursprünglichen Tweet interagierten, gewann der Vorfall an Bedeutung in den Technologiemedien und erregte schließlich die Aufmerksamkeit nationaler TV-Sender.

Extract from the main French TV channel BFMTV. (screenshot) — *"Droite au cœur, eine Dating-Website für "Patrioten", gab die Daten ihrer Benutzer preis."Auszug aus dem Hauptprogramm des französischen Fernsehsenders BFMTV*

‍

Mit der Verbreitung der Nachricht verzeichnete die App einen beispiellosen Anstieg des Datenverkehrs und der Anmeldungen von gefälschten Profilen. Das Team sah sich gezwungen, die Website vorübergehend für Wartungs- und Problembehebungsarbeiten zu schließen, um ihre Benutzer zu schützen.

Die Auswirkungen setzten sich fort, wobei die Plattform einen erheblichen Reputationsschaden erlitt, da viele bestehende Benutzer ihre Konten aufgrund von Bedenken hinsichtlich der Sicherheit ihrer persönlichen Daten löschten.

Dieser Vorfall markiert einen Wendepunkt sowohl in den Bubble- als auch in den breiteren No-Code-Ökosystemen. Als erster großer öffentlicher Sicherheitsskandal, der eine mit Bubble erstellte App betrifft, wird er voraussichtlich zukünftige Cybersicherheitsmaßnahmen innerhalb der Bubble.io-Plattform maßgeblich beeinflussen.

‍

Zuweisung von Verantwortlichkeiten

Bei jedem Ereignis, bei dem Risiken im Spiel sind, ist es üblich, jemanden zu finden, der verantwortlich gemacht werden kann. Die betreffende App wurde von einer französischen Bubble.io-Agentur entworfen, und die entscheidende Frage lautet nun: Wer sollte die Schuld für das Datenleck tragen? Ist es Droite au Coeur, die Schöpfer der App, oder liegt die Verantwortung bei der französischen Agentur, die die App entwickelt hat, oder vielleicht bei Mathis Hammel, dem Hacker? Die Lösung dieser Frage ist ziemlich komplex.

‍

Bewertung des Vorgehens des Hackers

‍

Mehrere Personen, darunter bekannte White-Hat-Hacker, nutzten Twitter, um die Ethik von Mathis Hammels Methoden und seine Entscheidung, das Leck öffentlich zu enthüllen, in Frage zu stellen.

‍

Nicht besonders ethisch, eine Schwachstelle öffentlich bloßzustellen, die viele Benutzer beeinträchtigen kann...

Pas très éthique d'exposer publiquement une faille qui peut impacter beaucoup d'utilisateurs...
— Thomas (@_Tospik) July 30, 2023

‍

Die Entscheidung, eine solche Verwundbarkeit öffentlich bloßzulegen, wirft ethische Bedenken auf, da dies potenziell viele Benutzer gefährden und das Vertrauen in das Unternehmen untergraben könnte. Tatsächlich kann die öffentliche Offenlegung solcher Verstöße nicht nur den Ruf des Unternehmens beeinträchtigen, sondern auch die Benutzer in Gefahr bringen, die keine Verantwortung für den Vorfall tragen. Auf der anderen Seite hilft es, die Möglichkeit eines Sicherheitsverstoßes hervorzuheben und die Benutzer auf die Verwundbarkeit ihrer Daten aufmerksam zu machen. Wir standen vor einem ähnlichen Dilemma bei der Einführung unserer Kostenloser Datenschutzregel-Überprüfer für Bubble-Apps.

Die optimale Strategie, wenn man eine solche Verwundbarkeit entdeckt, besteht darin, die Eigentümer der Anwendung zu informieren, damit das Problem behoben werden kann. Die Europäische Kommission stellt auch Leitlinien zur Bewältigung von Datenlecks zur Verfügung, wenn die Anwendungseigentümer nicht reagieren. Diese können hier gefunden werden: EU-Kommissionsrichtlinien für Datenlecks.

Allerdings haben wir in diesem konkreten Vorfall Bedenken hinsichtlich des Vorgehens des Hackers, da er sich dazu entschieden hat, die Daten lediglich zu veröffentlichen, um Aufsehen auf Twitter zu erregen und aus politischen Motiven, ohne auf die Behebung der Verwundbarkeiten zu warten. Diese Entscheidung hat die gesamte Benutzerbasis von Droite au Coeur gefährdet.

‍

Die Aufsicht der Agentur

Nicht unerheblich ist, dass die App nicht intern entwickelt wurde, sondern an eine französische Bubble.io-Agentur ausgelagert wurde. Der CEO von Droite au Coeur äußerte seine Frustration über den Prozess und erklärte: "Die Struktur, die für die Entwicklung der Website verantwortlich war, hat ihr Bestes getan, aber das ursprüngliche Framework, das von [dem Entwickler] etabliert wurde, war katastrophal, unleserlich und unverständlich."

Die Agentur zählt zu den Top 20 französischen Bubble-Agenturen, aber wir werden ihren Namen nicht nennen, da er noch nicht öffentlich bekannt gegeben wurde.

Unsere Forschung, die Anfang dieses Jahres im Hinblick auf die Sicherheit des Ökosystems durchgeführt wurde, stimmt mit diesem Ergebnis überein. Wir haben festgestellt, dass 89% der Top 100 Apps mindestens eine kritische Sicherheitslücke aufwiesen. Wir haben auch festgestellt, dass etwa 65% der von Bubble-Agenturen entwickelten Apps Schwachstellen aufwiesen. (Lesen Sie unseren Bericht von 2023: Ein umfassender Überblick über die Sicherheit der Top 100 Apps, die auf Bubble.io erstellt wurden).

Diese Daten unterstützen die Vorstellung, dass viele Agenturen Schwierigkeiten haben, die Sicherheit der von ihnen produzierten Apps zu gewährleisten, und dies scheint das erste öffentliche Beispiel dafür zu sein.

‍

Part of apps with sensitive data leaks from the Top 100 Bubble.io apps. Data that could not be identified as either sensitive or secure is referred to as “Unknown”. — Ein Teil der Apps mit sensiblen Datenlecks aus den Top 100 Bubble.io Apps. Daten, die weder als sensibel noch als sicher identifiziert werden konnten, werden als "Unbekannt" bezeichnet.

‍

Die Agentur könnte leicht für die Nachlässigkeit und das Sicherheitsleck verantwortlich gemacht werden. Die Realität ist jedoch komplexer. Wie die meisten Agenturen wird die Anwendung nach Abschluss und Veröffentlichung an die Kunden übergeben, wodurch diesen die volle Kontrolle übertragen wird. Da die Mehrheit der Agenturkunden keine technische Expertise besitzt, können sie leicht Fehler machen oder die Einstellungen für Datenschutzregeln ändern, was in diesem Fall die Ursache war. Die irreführende Bezeichnung "no-code" verleitet Kunden oft dazu zu glauben, dass sie nach Abschluss der App-Entwicklung mühelos Änderungen vornehmen können.

Darüber hinaus kann es eine ziemliche Herausforderung sein, die vorgenommenen Änderungen an einer Anwendung zurückzuverfolgen, um zu identifizieren, wer eine bestimmte Einstellung geändert hat.

Die Auswirkungen des Vorfalls auf den Ruf der Agentur bleiben ungewiss, da ihr Name nicht öffentlich mit dem Ereignis in Verbindung gebracht wurde. "Derzeit haben wir keine Pläne, rechtliche Angriffe oder Klagen gegen [die Bubble-Agentur] einzureichen", wie Stéphane mitteilte, was eine zukunftsorientierte Reaktion des Unternehmens anzeigt.

‍

Infragestellung von Bubble.io

Seltsamerweise wurde weder im Twitter-Feed noch in den Fernsehsendungen erwähnt, dass die App auf Bubble.io oder No-Code entwickelt wurde, möglicherweise weil der politische Aspekt dies überschattet hat. Das offensichtliche nächste Ziel für Schuldzuweisungen ist Bubble selbst. Wie konnte ein solches Datenleck auf Bubble passieren?

Die Antwort darauf ist nicht einfach. Bubble.io ist eine robuste Plattform mit strengen Datensicherheitsmaßnahmen. Allerdings locken ihre Zugänglichkeit und benutzerfreundliche Benutzeroberfläche ein Publikum an, das möglicherweise über kein tiefgreifendes Wissen im Bereich Cybersicherheit und kein Verständnis für aktuelle Datenschutzbestimmungen verfügt, was potenziell Risiken für Endbenutzer darstellen könnte.

Dieses Problem wird durch unzureichende Informationen über Sicherheitspraktiken und einen Mangel an öffentlichen Berichten über frühere oder bekannte Sicherheitslücken (dieser Vorfall ist der erste) weiter verschärft.

Letztendlich stellt Bubble die notwendigen Werkzeuge zur Sicherung einer App bereit, aber die Verantwortung liegt bei den Entwicklern (sowohl Agenturen als auch Einzelpersonen), diese Werkzeuge zu recherchieren, zu erlernen und umzusetzen, um die Anwendungssicherheit zu gewährleisten.

In letzter Zeit sind Tools von Drittanbietern aufgetaucht, um den Sicherheitsprozess für Ihre Bubble.io-App zu vereinfachen. Trotz unseres scharfen Sicherheitsbewusstseins bleibt menschliches Versagen immer eine potenzielle Bedrohung. Tools wie

Flusk Vault (unser Angebot) oder NcScale helfen dabei, Sicherheitslücken in Ihrer Bubble-App zu identifizieren und zu beheben.

Implikationen für die Zukunft

‍

In dem, was wie ein beispielloses Ereignis erscheint, markiert dieses Ereignis das erste von möglicherweise vielen, die noch folgen werden. Es ist von entscheidender Bedeutung, dieses Ereignis im Kontext des rasanten Aufstiegs von No-Code-Tools, insbesondere Bubble.io, zu betrachten. Mit einer steigenden Anzahl von Anwendungen, die über Bubble.io entwickelt werden, ist es unausweichlich, dass mehr Anwendungen Sicherheitslücken aufweisen werden. Daher müssen wir einen unermüdlichen Fokus auf Privatsphäre und Datensicherheit legen, um die Sicherheit und Glaubwürdigkeit des Ökosystems zu bewahren.

Wenn wir den breiteren Kontext betrachten, dient dieser Vorfall als eindringliche Erinnerung an die zunehmenden Sicherheitsbedenken im Zusammenhang mit No-Code-Plattformen. Mit dem verstärkten Einstieg von Anfängern in die App-Entwicklung über diese Plattformen steigt die Wahrscheinlichkeit unbeabsichtigter Sicherheitslücken rapide an und schafft eine günstige Umgebung für Cyberbedrohungen. Die Landschaft der Hacker wird im No-Code-Bereich ebenfalls komplexer und gefährlicher, da versierte Hacker diese Schwachstellen identifizieren und für ihren eigenen Vorteil ausnutzen.

‍

Growth curve of the number of apps running on Bubble.io between 2013 and 2022. Source BuiltWith. — Wachstumskurve der Anzahl von Apps, die von 2013 bis 2022 auf Bubble.io ausgeführt werden. Quelle: BuiltWith.

‍

Wir haben bestätigt, dass Droite au Coeur die notwendigen Schritte unternommen hat, um die Sicherheitslücken zu beheben und ihre Benutzer von nun an zu schützen. Eine faszinierende Frage in der Folge solcher Vorfälle ist, ob ein Unternehmen nach einem Sicherheitsverstoß das Vertrauen wiederherstellen kann? Die Geschichte liefert hier gemischte Beispiele. Einige Unternehmen, wie Adobe, konnten sich nach einem Datenleck durch die Implementierung robuster Sicherheitsmaßnahmen und die Demonstration ihres Engagements für den Schutz von Benutzerdaten gestärkt erholen. Andere hingegen haben Schwierigkeiten, das Vertrauen der Verbraucher zurückzugewinnen und erleiden Rufschäden. Vieles hängt davon ab, wie das Unternehmen auf den Vorfall reagiert und mit seinen Benutzern kommuniziert. Die Zeit wird zeigen, welchen Weg Droite au Coeur einschlagen wird.