Zum Hintergrund
Bei einer routinemäßigen Änderung haben wir festgestellt, dass es unter bestimmten Umständen möglich ist, direkten Zugriff auf Dateien oder sogar komplette Ordner zu erlangen OHNE ein Kennwort eingeben zu müssen.
Das ist der Fall, sofern Sie das NAS nutzen, um über (vermeintlich passwortgeschützte) Freigabelinks, Dateien oder Ordner öffentlich zu teilen.
Zur Funktion
Hersteller bieten mit den NAS-Laufwerken eine Option, bestimmte Ordner oder Files über einen öffentlichen Link zu teilen. Da das Feature nun auch die Möglichkeit bietet, diese Freigaben mit einem Kennwort zu schützen sollte man annehmen, dass die geteilten Daten auch sicher sind. Der Zugriff eben immer die Eingabe des Kennworts erfordert.
Der Freigabelink und das dazugehörige Kennwort werden an die Personen weitergegeben, die für den Empfang der Daten entsprechen autorisiert sind und Zugriff erhalten sollen. Bei Aufruf ist die Freigabe zunächst einmal durch ein Kennwort gesichert.
So ist zumindest die Idee dieser Lösung, die auch erstmal problemlos funktioniert, wahrscheinlich in vielen Bereichen so umgesetzt wird sofern keine andere Cloud-Plattform oder sonstige eigene aufwändige Lösung installiert und betrieben werden soll.
Was passiert wirklich bzw. wo liegt jetzt das Problem und die Sicherheitslücke?
Der Download von Dateien und Ordnern erfolgt nun im Hintergrund über einen Link, dieser Link kann auch einzeln kopiert werden. Der Browser verwendet den Link, um die Dateien oder Ordner herunter laden zu können.
Der Link ist zwar sehr lang und kryptisch, findet sich allerdings ohne Probleme z.B. im Verlauf bzw. der Chronik des Browsers, ebenfalls aber auch in Log Dateien des eingesetzten Proxys, Firewall oder Router-Log-Files, wenn man weiß, wonach man sucht.
Die erkannte Lücke besteht nun dahingehend, dass es möglich ist, diesen Link aus den Log Dateien, der Chronik, oder auf sonstigen Systemen, auf denen er protokolliert oder abgegriffen wurde, direkt zu verwenden.
Wenn man nun Zugriff auf so einen Eintrag erlangt, kann man diesen kopieren und in einem Webbrowser einfügen. Dadurch erhält man direkten Zugriff auf die Datei oder womöglich den Ordner, je nach Link, OHNE ein Kennwort eingeben zu müssen.
Ist man also im Besitz eines derartigen Links, oder mehrerer Links, ist es durchaus möglich, sämtliche dahinter liegenden Dateien oder Ordner herunterzuladen, ohne das Kennwort zu kennen und vielleicht dafür berechtigt zu sein.
Was ist die Folge?
In der Konsequenz bedeutet dies, dass wenn über ein solches System personenbezogene Daten oder sonstige sensible und vertrauliche Daten bereitgestellt werden, man hier ein großes Sicherheitsproblem hat.
Die Chronik des Browsers oder die Log Dateien eines Proxys sind nur zwei mögliche Optionen, Sniffing oder sonstige Mechanismen, welche Hacker anwenden, sind weitere Möglichkeiten und in mehreren Varianten möglich.
Aus datenschutzrechtlicher Sicht muss abgewogen werden, ob man hier nicht sogar von einer Datenpanne ausgehen muss, eventuell hier sogar von einer Meldepflichtigen.
Betrachtet man diese Lücke aus Sicht der DSGVO muss man nachweisen können, dass während der Freigaben niemand unberechtigten Zugriff auf die Daten erlangt hat. In jedem Fall ist hier also eine ausführliche Prüfung der Zugriffe anhand der Log-Dateien erforderlich, um ein Risiko für die Betroffenen ausschließen zu können.
Weiterhin sollte die Problematik, sofern auch eigene Systeme betroffen waren, intern mit den getroffenen Maßnahmen dokumentiert werden.
Was sagt der Hersteller?
Wir haben den Hersteller mit dieser Problematik kontaktiert und den Support dazu befragt.
In erster Rückmeldung war der Fall so nicht bekannt, man wollte es überprüfen. In einer weiteren Antwort teilte man dann mit, dass man die Funktion so bestätigen kann, man hier allerdings kein konkretes Problem oder keine akute Gefahr sieht. Man hat den Fall jedoch als Feature an die Entwicklung weitergereicht.
Eine weitere Rückmeldung mit einer Alternative oder Lösungsmöglichkeit steht bisher aus.