Datenpanne bei Kita App Mitbewerber

2024-03-24T18:00:00Z

Die Kita App "Stay Informed", einem Mitbewerber von uns, war einem erheblichen Datenleck ausgesetzt, wodurch umfassende Nutzerinformationen öffentlich zugänglich wurden. Laut einem Bericht von Heise Online bestand das Hauptproblem in einem Webserver, der über eine ungesicherte HTTP-Verbindung frei erreichbar war und durch ein Verzeichnislisting auch Einblick in gespeicherte Inhalte ermöglichte. Der Artikel enthüllte, dass Nutzerinformationen (in Form von CSV-Dateien), Bilder und Dokumente frei zugänglich waren.

Dieser Vorfall hat uns dazu veranlasst, eine interne Überprüfung durchzuführen, um sicherzustellen, dass unsere Anwendung nicht von einem ähnlichen Datenleck betroffen ist.

Die für den Datenimport verwendeten CSV-Dateien werden von uns nur temporär gespeichert und unmittelbar nach dem Importvorgang gelöscht. Nutzerdaten finden zu keinem Zeitpunkt eine permanente Speicherung in Dateiform auf einem Dateisystem. Bilder und Dokumente werden bei uns nicht in einem herkömmlichen Dateisystem gespeichert. Diese Struktur vermeidet die typischen Probleme einer Verzeichnisablage bei einer fehlerhaften Konfiguration. Der Zugriff auf einzelne Dateien ist nur über einen Schnittstellenserver für autorisierte Benutzer möglich.

Ein Vorfall wie die Datenpanne, die unseren Wettbewerber betraf, ist in unserem System nicht möglich.

Studie zur Sicherheit von Kita-Apps

2022-07-09T08:01:00Z

Liebe Kitas, Träger & Kunden!

Am 08.Juli 2022 wurde eine Studie veröffentlicht in der 42 Kita-Apps aus Europa und den USA untersucht wurden.

Am 12. November 2021 wurden wir von einem Mitarbeiter vom Institut für Internet-Sicherheit kontaktiert und auf 3 Schwachstellen in unserer App hingewiesen.

Wir haben am 07. Januar 2022 mit einer Antwort und Beseitigung der genannten Schwachstellen auf diesen Hinweis reagiert.

1. Outdated Backend
Die Version der Webserver-Software nginx wurde auf eine neuere Version aktualisiert.

2. Min SDK Too Low
Die Version der Android SDK wurde von 19 auf 23 geändert.

3. SSL-Pinning
Dieses wurde in der App inzwischen auch ergänzt und im Release Train freigegeben und steht für alle im Google Play Store als Update zur Verfügung.

Quelle: E-Mail von internet-sicherheit

Am Tag der Veröffentlichung der Studie am 08.Juli 2022 haben wir die Verfasser kontaktiert und erwarten eine Antwort um Details zu erhalten, die über unsere App herausgefunden wurden, damit wir diese für uns bewerten und notwendige Anpassungen vornehmen können.

Nach erster eigener Prüfung konnten wir feststellen, dass wir im Dezember die Eltern-App auf eine modernere Plattform neu aufgesetzt haben und die neue Version der Kindy App am 02.Dez. 2021 und ein weiteres Update am 14.Jan. 2022 im Play Store veröffentlicht wurde.
Dies war auch der Grund warum sich Eltern Anfang des Jahres alle neu in der Kindy App einloggen mussten.
Da uns nicht bekannt ist welche Version der Kindy App für die Studie getestet wurde, gehen wir derzeit davon aus, dass es eine ältere Version von November war, die zuletzt im Play Store am 27. Apr. 2021 veröffentlich wurde, bei der mit der älteren Plattform auch ältere Versionen von PlugIns zum Einsatz kamen.

Wir haben uns als unabhängiges eigenfinanziertes Startup zum Ziel gesetzt eine App für die Bedürfnisse von Kitas zu entwickeln und ein gutes Produkt anzubieten. Hinter Kindy steht kein Investor oder ein anderes (großes) Unternehmen, welches an unserem Unternehmen beteiligt ist und andere Interessen verfolgt.
Es findet keine Weitergabe von jedweden Daten an Dritte statt, die im Rahmen des Systems erfasst und verarbeitet werden und erst Recht nicht zu kommerziellen Zwecken und wir verwenden kein Tracking von Usern in unseren Anwendungen.
Bei uns war zu keiner Zeit ein Zugriff auf ungeschützte Daten und Fotos möglich, wie es laut der Studie bei anderen Anbietern als Schwachstelle erkannt wurde und damit von unbeteiligten Dritten Daten eingesehen werden konnten.

Die Entwicklung unserer App findet in enger Zusammenhang mit Kitas statt, die Kindy im Einsatz haben und wir nehmen alle Rückmeldungen von den pädagogischen Fachkräften, wie auch von den Datenschutzbeauftragten dankend an, um unser Produkt stetig zu verbessern und Prozesse zu überdenken und notwendige Anpassungen vorzunehmen.

Neben Funktion und Bedienbarkeit (UI/UX) der App, steht dabei auch der Datenschutz immer im Fokus und die damit verbundene Datensicherheit.
Vor Kurzem haben wir z.B. die Verifizierung in zwei Schritten in der Eltern-App ergänzt, die aktiviert werden kann und beim Login eine zusätzliche Identitätsbestätigung mit einem Code erfordert.

In den Artikeln, die derzeit zu der Studie zu finden sind, werden Fotos stark thematisiert. In unserer App können Fotos auf der Pinnwand hochgeladen werden oder in einer Nachricht angehängt werden. Diese Funktion ist dabei ein Teil unserer App, die genutzt werden kann aber nicht muss.

Wir empfehlen allen unseren Anwendern sich erst damit auseinanderzusetzen, wie mit Bildern allgemein umgegangen wird und eine Handlungsempfehlung zu definieren.

Wir als Auftragsdatenverarbeiter müssen sicherstellen, dass die Bilder zugriffsgeschützt abgelegt und auch wieder gelöscht werden, wenn die Einrichtung Datensätze entfernt, die mit diesem Bild verknüpft sind. Die Einrichtung sollte sich aber auch intensiv mit der Thematik Fotos auseinandersetzen. Es dürfen nur Fotos von Kindern hochgeladen werden, deren Einwilligungserklärung für Fotos vorliegt. Um den Alltag in der Kita zu zeigen, muss nicht das Kind frontal fotografiert werden, sondern es können Motive von gemalten Bilder, neuen Spielgeräte mit einer Kinderhand o.ä. veröffentlicht werden. Sollten doch Kinder von vorne gezeigt werden, können bspw. vor dem Hochladen Emojis zur Unkenntlichmachung des Gesichts verwendet werden. Diese Funktion mit dem Hinzufügen von Emojis aufs Bild möchten wir auch in einem unserer nächsten Updates ergänzen.

Für uns ist es wichtig nur Daten in der App zu erfassen, die zur Erfüllung der Funktionen unserer Anwendung für die Kita notwendig sind und dabei Techniken einzusetzen, die keine Abhängigkeit zu anderen Diensten zur Folge haben, wir die Datenhoheit behalten und auch Daten bei Bedarf wieder aus dem System komplett entfernt werden.
Ganz ohne andere Dienste funktioniert es aber leider doch nicht und bei der Push-Benachrichtigung sind wir auf den Einsatz eines Push Notification Services angewiesen, um diese Funktion bereitstellen zu können.

Sollten wir weitere Informationen uns betreffend von den Studienergebnissen erhalten, werden wir die genannten Punkte abgleichen und sowohl technisch wie auch in Bezug auf den Datenschutz bearbeiten und dies in einem weiteren Beitrag mitteilen.

Update 13.07.2022
Inzwischen haben wir eine erste Rückmeldung von den Autoren der Studie erhalten und es wurde uns mitgeteilt, dass für die Studie die App Version 1.3.2 (April 2021) verwendet wurde, wie wir auch bereits vermutet haben. Zudem wurde uns mitgeteilt, dass uns alle gefundenen Details am 12.Nov. 2021 bereits mitgeteilt wurden, was wir alles, wie im Beitrag beschrieben, bereits im Dez/Jan behoben haben.
Auch die Information in der Studie mit der Verschlüsselung ist nicht korrekt, da der Zugriff bei uns in der App nicht mit TLS 1..0 sondern stets mit TLS 1.3 oder 1.2 erfolgt.

Log4j-Sicherheitslücke: Kindy NICHT betroffen

2021-12-14T20:23:00Z

Am Wochenende verbreitete sich die Meldung von der vom BSI als extrem kritisch eingeordneten Schwachstelle in der Java-Bibliothek log4j von der Anbieter weltweit (u.a. Netfix, Twitter, Apple) betroffen sind.

Wir haben unsere Systeme daraufhin geprüft und die Bibliothek wird bei uns nicht verwendet, so dass Kindy davon nicht betroffen ist.

Neuigkeiten zur Kindy App

2021-12-01T11:42:00Z

Hier finden Sie künftig alle Informationen zur Kindy App für unsere Nutzer und Kunden und wir informieren über Verbesserungen und Produktaktualisierungen.

Den Link zu dieser Seite finden Sie auch hier: