Exposure of Private Personal Information to an Unauthorized Actor

CWE 359

Vom 18. Mai 2020

Eingestuft als unkritisch

Beschreibung der Entdeckung: Ein potenziell kompromittierter Nutzer einer geschlossen Organisation, kann über Development-Tools des Browsers den Client Key und die Device ID abrufen. Darüber könnte arglistig die jeweilige URL mit geänderten Parametern abgerufen werden und damit eine Listung der Nutzer der eignen verbundenen Organisation aufgerufen werden.

 

Beurteilung Hersteller: Dieses Vorgehen beurteilt der Hersteller tendenziell als unkritisch, da die Informationsausgabe eingeschränkt ist und für die übermittelten Daten der API eine Notwendigkeit besteht. Bei dem Datenumfang der API handelt es sich um den zwingend notwendigen Informationsgehalt welcher behalten werden muss, damit die Clients funktionsfähig bleiben. Die API gibt ausschließlich die Informationen aus, die ein Nutzer aufgrund seiner jeweiligen zugeteilten Rolle und dazugehörigen Rechten innerhalb seiner eigenen Organisation(en) erhalten darf. Darüber hinaus werden keine Daten ausgegeben. Um zu verhindern, dass innerhalb der eigenen Organisation E-Mail Adressen arglistig durch organisationszugehörige Nutzer entwendet werden können, hat der Hersteller bereits einen Umbau vorgenommen und bietet seinen Kunden im Bedarfsfall dieses als Hotfix an.

Ihr Datenschutz ist uns wichtig: Standardmäßig erheben wir keine Analyse-Daten Ihres Besuchs! Um unsere Webseite jedoch fortlaufend verbessern zu können, tracken wir anynomisierte Daten der Webseitennutzung, sollten Sie damit Einverstanden sein. Sie können die Einstellungen zur Verwendung von Cookies jederzeit im Fußbereich der Webseite ändern. Näheres hierzu entnehmen Sie bitte unserer Datenschutzerklärung.

Privatsphäre-Einstellungen

Wählen Sie aus, zu welchem Zweck diese Website Cookies verwenden darf:

Gestattete Funktionalität

  • Speicherung des Fortschritts bei Kontaktaufnahmen

  • die einheitliche Darstellung von Seiten-Inhalten

  • Speicherung Ihres letzten Website-Besuch

NICHT gestattete Funktionalität

  • Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken

  • Ermöglicht das Teilen von Seiten über soziale Netzwerke

  • das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen

Gestattete Funktionalität

  • Speicherung des Fortschritts bei Kontaktaufnahmen

  • die einheitliche Darstellung von Seiten-Inhalten

  • Speicherung Ihres letzten Website-Besuch

  • Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken

NICHT gestattete Funktionalität

  • Ermöglicht das Teilen von Seiten über soziale Netzwerke

  • das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen

Gestattete Funktionalität

  • Speicherung des Fortschritts bei Kontaktaufnahmen

  • die einheitliche Darstellung von Seiten-Inhalten

  • Speicherung Ihres letzten Website-Besuch

  • Speicherung von anonymisierten Nutzungsdaten zu Analysezwecken

  • Ermöglicht das Teilen von Seiten über soziale Netzwerke

  • das Anzeigen von Werbeangeboten, die Ihren Interessen entsprechen