Cloudapp: Militärgeheimnisse, Kreditkartendaten, Adressen, Lizenzen… für jeden

Seit einigen Wochen setzen viele von euch die CloudApp ein – auch ich habe dies für ein paar Tage getan – bis mir zugetragen wurde das Privatsphäre gleich Null ist. Das ist vielleicht einigen bekannt, aber den meisten Benutzern wird dies wohl nicht als erstes in den Sinn gekommen sein. Anders wäre es nicht zu erklären was wir  ( mehrere Personen die namentlich nicht erwähnt werden wollen und ich ) während unser Recherche alles an privaten Daten gefunden haben….

Schon nach wenigen Klicks haben wir Kreditkarten Daten gesehen, Buchungsbestätigungen für diverse Bestellungen. Mit im Paket waren auch mal eben eine Excel Tabelle mit mehr als 32.000 Adressen inklusive Telefonnummern. Den Vogel schoß jedoch eine Militärkarte vom 30.04.2010 – inklusive der Kontaktinformationen der Militärperson die das Dokument bearbeitet hat ab.

Was haben wir (bisher) gefunden?

  • Bewerbungschreiben ( Word, PDF, Text Dokumente )
  • Buchungbestätigungen mit allen Persönlichen Daten, inklusive Flugnummern
  • Sehr viele private Fotos, die garantiert nicht für die Öffentlichkeit bestimmt waren/sind
  • Private Videos
  • Lizenzdaten für gekaufte Software
  • Screenshots von PayPal Transaktionen
  • Interne Firmendokumente & Präsentationen inklusive Umsatzzahlen
  • Eine Adressliste mit mehr als 32.000 kompletten Adressen inklusive Telefonnumern, eMail, Name/Vorname, Postanschrift
  • Gerichtsdokumente ( von SUPREME COURT OF THE STATE OF NEW YORK )
  • Prüfungsergebnisse inklusive Notenschlüssel
  • Steuererklärungen im PDF Format ( komplett ausgefüllt )
  • Diverse Lebensläufe
  • Sicherheitspläne eines Las Vegas Casinos ( inklusive Lageplan der diversen Sicherheitsvorkehrungen )
  • Militärkarte der US. Navy inklusive Daten des Mitarbeiters – diese hatte den Vermerk “For Official Use only” und dürfte dem deutschen NVD ( Nur Für den Dienstgebrauch ) gleich zu setzen sein.

Seht dies als Warnung – wenn ihr CloudApp benutzt – eure Daten können von jedem gesehen werden! Wenn es wirklich privat sein soll und auch bleiben soll – dann ist CloudApp NICHT zu empfehlen.

Die Bilder dienen NUR der Info – sie sind verändert worden, da wir die Daten der Personen natürlich nicht veröffentlichen wollen!

One more thing… wie wäre es mit Transmit für das iPad?

Update:

Wir haben natürlich eine eMail an CloudApp Support geschrieben und haben auch eine Antwort erhalten:

We are obviously aware of this, since CloudApp was conceived to publicly share files quickly. We will address this publicly in the coming week because according to your findings it seems people are not aware and are using it to transfer. For a future update we will also make an option available that creates long URLs (32 chars) for protected uploads.

Kurz übersetzt heißt es. Ja wir wissen das, weil es ja dazu gedacht ist Files schnell und einfach zu verteilen. Wir werden es jedoch in der kommenden Woche öffentlich noch einmal verdeutlichen da es, nach dem was ihr für Daten gefunden habt, auch für private Daten gentutzt wird. In einem zukünftigen Update wird es die Option geben lange URLs ( mit 32 Characters ) für gesicherte Uploads zu erstellen.

Und noch einmal zur Klartstellung – CloudApp macht genau das was es soll. Es nimmt euren Daten und stellt diese schnell und einfach zur Verfügung. Aber offensichtlich sind sich einige einfach nicht bewusst darüber das es dann jeder sehen kann ( sonst gäbe es wie gesagt nicht diese Daten die wir finden konnten ).

Update 2:

BITTE BEACHTET AUCH DEN KOMMENTAR VON MAXIMILIAN IN DEN COMMENTS ( er ist vom CloudApp Team! )

Liebe CloudApp user,
wir schreiben gerade einen Blog Post um unsere User aufzuklären. Es ist ganz klar unser Fehler gewesen, es für selbstverständlich zu halten, dass CloudApp für öffentliches “sharen” konzipiert wurde.

“Rosenblut” war so nett und hat uns am Sonntag (May 09, 2010 @ 12:54 AM) auf das Problem aufmerksam gemacht. Er hatte uns ebenfalls zugesichert uns Zeit zu geben damit wir das Problem beheben können bevor er dieses veröffentlicht. Wir waren wohl nicht schnell genug.

Wir arbeiten seit Sonntag an einer Lösung damit Ihr von nun an private Uploads tätigen könnt.

41 Antworten auf „Cloudapp: Militärgeheimnisse, Kreditkartendaten, Adressen, Lizenzen… für jeden“

  1. Ist es jetzt so, dass die ClouApp alles gespeichert hat, was man am Mac gemacht hat? Oder ist es so, dass jeder sehen kann, was man hochgeladen hat?

  2. Hab jetzt erstmal alle Daten aus meiner Cloud entfernt. Ist ja echt unfassbar, dass die Daten einfach so von jedem eingesehen werden können, wie auch das Transmit for iPad Bild.

    Ich hoffe die bringen bald einen guten Datenschutz, sonst ist die Cloud für mich gestorben. Ich bin erstmal wieder bei Droplr.

  3. Puh. Das ist wohl eine harte Sache. Ist mir aber ziemlich egal – bei mir werden so und so nur Links geschickt, Screenshots hochgeladen, also nichts aufregendes!

  4. Es gibt nicht schlimmeres wenn sehr Sensible Daten ausgelesen werden können. Dankeschön für den Hinweis ich werde die App ganz sicher nicht benutzen.

  5. Ich nehme nicht an das irgend etwas dagegen getan wird… Weil das Programm eigentlich nur das Tut, wofür es geschrieben wurde. Es schaufelt Daten an einen anderen Ort. Ich hätte jetzt nirgends auf der Seite gesehen, das es dabei wirklich nur um das verfügbar machen für CoWorkers und Freunde geht… Also fast wie ein schlecht konfiguriertes Shared Drive
    Was ich als sehr problematisch Ansehe, ist die Verwendung von alt+c als shortcut da die Tasten gerade bei Mac Anfängern sehr häufig mit cmd+c für copy and paste verwechselt wird. Kann mir gut vorstellen, dass das auch so gewollt war.
    Nutzer bekommen dann halt ggf garnicht mit das sie gerade etwas veröffentlicht haben.

      1. Nützt herzlich wenig, wenn man das Prinzip nicht kapiert… ich hab mir das Programm und das mit dem account 5 Minuten angeschaut, das Programm zwingt einen nicht dazu Growl oder einen Warnton einzustellen und ist nicht voreingestellt… dahingegen Copy link to Clipboard ist vorgewählt und Autoupload Screenshots ist angehakt.
        Die meisten Benutzer lesen sich die Terms of Service nicht durch und sind bereits indoktriniert alles bei den Standard Einstellungen zu lassen.
        Mit Handarbeit hab ich unter einer halben Stunde gebraucht, um das erste kritische (5 Minuten zum ersten Schwulen Foto ohne Jugendschutzabfrage und 25 Minuten zu einer Macheist page mit Lizenzen)zu finden obwohl ich vor dem Artikel noch nie etwas von Cloudapp gehört hatte. Was ist dann erst mit nem einfachen Script möglich?
        http://cl.ly/10Su

  6. Dieser Artikel bestätigt meine Ansicht zu dem Thema. Private bzw. sensible Dinge sollten niemals auf einem externen Server gespeichert werden.

  7. Der Unterschied bei droplr ist, dass hier die URLs nicht hochgezählt werden, sondern 5 Stellige Zufallkombinationen genutz werden (was jetzt nicht viel sicherer ist), aber man kann nicht 3-Buchstabig hochzählen. Außerdem landet nciht jeder Screenshot automatisch in der App

  8. Ich glaube eher viele bemerken garnicht, das sie etwas hochgeladen haben… Weil ein Bildschirmfoto kommt bei mir recht häufig vor das ich mal eins mache gerade wenn ich das Bild für einen Boo erstelle…. in der Grundkonfiguration lädt er es einfach hoch ohne vorher nochmal nach zu fragen.
    Die Hochzählerei ist auch noch so ne Sache… die sind angefangen haben sie mit einem Buchstaben hinter dem Slash da gibt es viel Potential

  9. Also ich finde es schimm hier Panikmache zu betreiben. Wenn man ein App nutzt, sollte man sich immer Gedanken machen was es tut und WIE ICH es nutzen werde. Die App tut das, für was sie geschrieben wurde: Daten zu teilen…
    Und sich dann hinzustellen und zu schreiben, was für tolle und geheime Daten man gefunden hat…ganz billig. Sorry, das hat BILD-Niveau.
    Ich kann auch hingehen und alle möglichen Kurzurls eintippen und mal sehen was dabei rauskommt.
    Nochmal, die App macht genau das was sie soll. Wenn ich hier lese, oje ich lösche sofort meine Daten, muß ich nur den Kopf schütteln. VORHER denken nützt ab und an auch mal was.
    Sry für die etwas harsche Kritik, aber muss sein.
    Gruß Betzbub

    1. Ich kann dem leider nicht zustimmen. Es ist eine Warnung – nicht mehr und nicht weniger. Wenn man man sieht was für Daten verfügbar sind ist es offensichtlich das sehr viele sich dessen überhaupt nicht bewusst sind.

      Auch wenn es auf der Website steht – auch wenn es in den Nutzungsbedingungen steht. Fakt ist – es sind tonnenweise an Daten dort die dort nicht hingehören.

      Zudem sagt selbst der Hersteller der App das er das Verhalten der App anpassen wird und explizit auf die “Öffentlichkeit” der Files hinweisen wird – das zeigt das auch der Hersteller das Problem nun erkannt hat.

  10. @Betzebub

    Es geht nicht um Panikmache, sondern darum unbedarfte Nutzer wachzurütteln.
    Und die gefundenen Daten belegen, dass es offensichtlich eine Vielzahl unbedarfter Nutzer gibt.

    Wenn man den Artikel zu ende liest, steht dort auch ganz deutlich, dass die Cloud App das macht, was sie soll, daher finde ich Deine Kritik in dieser Form unangebracht.

    1. Schau Dir den Titel an: “Militärgeheimnisse…etc für jeden”
      DAS klingt nach BILD. DAS ist Panikmache. Das hat nichts mit einem Hinweis zu tun, darauf zu achten was man hochladen sollte.
      Ich schätze Bernd sehr und verfolge ihn auf allen Plattformen, vor allem wegen der Sachlichkeit und Qualität seiner Artikel.
      Und der Hersteller denkt wohl darüber nach die Länge der Kurz-Urls zu verlängern um die Chance was zu treffen zu verkleinern, weil eben nicht solche “Recherchen” mit willenlos eingetippten Cloudurls zu irgendwelchen Dokumenten führen.

  11. Ich bleibe dabei es ist eine einfache tpyische “Erst denken, dann handeln” Sache. Wenn man so ein Programm benutzt sollte man eigentlich wissen was es macht,etc. Learningbydoing

    1. Aha – also sollte man Leute nicht darüber informieren deiner Meinung nach wenn sie offensichlich private Daten der Öffenlichkeit zur Verfügung stellen – ohne sich dessen bewusst zu sein.

      Eine sehr eingeschränkte Meinung – nach dem Motto – “…lass die Dummen mal zu Schaden kommen…”

      Ich würde gerne sehen wie du reagieren würdest wenn deine Daten in einem solchen Upload stehen würden.

      1. Nein natürlich sollte schon von vornherein klar gestellt werden dass private Daten der Öffentlichkeit zur Verfügung zugänglich gemacht werden, aber eigentlich sollte das einem schon nach kurzer Benutzung von CloudApp klar werden.
        “[…]Eine sehr eingeschränkte Meinung – nach dem Motto – “…lass die Dummen mal zu Schaden kommen…”[…]”
        Grob gesagt ja 😀 Das Leben ist hart und ungerecht.
        Vielleicht wäre es noch gut wenn die Programmierer die Funktion von Growl/Audio Notify standard schon aktiviert einstellen. Somit landen keine Daten mehr ungewollt im Internet(theoretisch).

  12. Finde den Hinweis von Bernd sehr gut.

    Allerdings sollte jeder, der die App nutzt auch vorher schon verstehen, dass dies nichts mit privaten/sicheren Daten zu tun hat. Eine Short-URL ohne weiteren Passwortschutz ist nun mal nie privat/vertraulich.

  13. Liebe CloudApp user,
    wir schreiben gerade einen Blog Post um unsere User aufzuklären. Es ist ganz klar unser Fehler gewesen, es für selbstverständlich zu halten, dass CloudApp für öffentliches “sharen” konzipiert wurde.

    “Rosenblut” war so nett und hat uns am Sonntag (May 09, 2010 @ 12:54 AM) auf das Problem aufmerksam gemacht. Er hatte uns ebenfalls zugesichert uns Zeit zu geben damit wir das Problem beheben können bevor er dieses veröffentlicht. Wir waren wohl nicht schnell genug.

    Wir arbeiten seit Sonntag an einer Lösung damit Ihr von nun an private Uploads tätigen könnt.

  14. Wer seine Daten in CloudApp reinstellt und nicht will dass sie öffentlich zu sehen sind ist selber Schuld! CloudApp ist glaube ich nicht für “private” Dokumente oder gar “geheimen” Daten gedacht – glaube ich zumindest. Wer außer einem komplettem Vollidioten erwartet schon Sicherheit bei einem 3 stelligem Kürzel. Zumal die URL’s auch noch hochgezählt werden (nach ab1 kommt ab2 etc. und nach 12x kommt 12y).

    Das einzigste was mir an CloudApp fehlt ist a) ein Tool für Windows-User (die oft sicher gerne einen Mac hätten, wenn sie das Geld dazu hätten) und b) eventuell für private Dateien noch ein Passwort-Schutz. Momentan gibt es den noch nicht und: wer seine Daten zu CloudApp stellt ist selber Schuld! Leute dann nehmt doch Dropbox für private Dateien! Dort kann man einstellen wer das Dokument sehen kann – und beschuldigt nicht CloudApp wenn ihr den Dienst für etwas nutzt wofür er eigentlich gar nicht gedacht ist.

  15. Wenn das mit der Zeitangabe von Maximilian Schöning und der Zusicherung von Bernd stimmt, ist das nochmal ein Riesending.
    Da würde ich gerne mal Bernds Stellungnahme dazu lesen.
    Und sag bloß nicht, Du wolltest die User schützen. Das App tut was es soll.
    Da hätten ein paar Tage warten nichts geändert.
    Vereinbarung nicht einhalten und dann mit einem reißerischen Titel neue Leser gewinnen.
    Wenn dem wirklich so ist, verabschiede ich mich von Rosenblut.
    Zerreißt mich, aber sowas ist für mich ein nogo.

  16. Oh man wie schlecht @ Betzebub 😀 na dann
    Also mir war ja schon zu Anfang klar was CloudApp macht, gut das lag daran das ich mir Rosenkriegers Screencast angesehen habe, aber auch durch ein Blick auf die Seite und die Benutzung der App sollte das klar werden. Deswegen ist es mir unverständlich wie einige User private Sachen dort hochladen ohne zuwissen das diese dann für alle frei zugänglich sind.
    Was die Entwickler von CloudApp machen sollten ist:
    1. die Länge der URLs vergrößern!
    2. Die Growl UND Audio Notify standardmäßig aktivieren.
    (Ich denke jeder sollte Growl installiert haben oder?)
    Und nach allem maulen will ich mich trotzdem für den Beitrag von Bernd bedanken 😉

  17. Ich möchte noch anmerken: Weißt du mehr über Transmit für’s iPad?

    Kleiner weiterer Hinweis: Ich nehme an, dass du mit Veröffentlichung des ein oder anderen Bildes eine Urheberrechtsverletzung begangen hast.

    Liebe Grüße,
    Ben

Sag mir Deine Meinung!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die DSGVO-Checkbox ist ein Pflichtfeld.

*

Zustimmung zur Datenspeicherung lt. DSGVO