Bei Pflegia, einem Portal für die Jobsuche im Pflegebereich, hat es wohl einen Datenschutzvorfall gegeben. Nach den mir zugesandten Informationen war eine ungeschützte AWS Bucket per Internet erreichbar. Diese Instanz enthielt Hunderttausende Dateien mit vertraulichen Informationen – meist von Menschen eingestellt, die Arbeitsstellen im Pflegebereich suchten. Das Unternehmen hat auf die Anfrage der Entdecker der Schwachstelle nicht geantwortet – aber die ungeschützte Datenbank war kurz nach der Information des Portals aus dem Internet verschwunden.
Anzeige
Wer ist Pflegia?
Bei Pflegia handelt es sich um ein aus Berlin operierendes Portal, welches Arbeitskräfte im Bereich der Pflege vermitteln will. Arbeitssuchende aus den Bereichen Altenpflege und Krankenpflege etc. können sich beim Portal registrieren und dann dort ihre Bewerbungsunterlagen einstellen. Ziel ist es, offene Arbeitsstellen bei Krankenhäusern, Pflegeheimen, ambulanten Diensten, in der Intensivpflege aber auch bei Zeitarbeitsfirmen zu besetzen. Die Arbeitgeber können sich an Hand der Bewerberprofile informieren und bei den Arbeitssuchenden "bewerben". Auf der Webseite erfährt man weitere Details.
Screenshot Pflegia-Startseite
Das Ganze ist für Bewerber laut Aussage des Anbieters "100 kostenlos und anonym". Alles in allem eine gute Sache für Arbeitnehmer im Pflegebereich. Auf der Webseite des Portals wirbt man damit, dass 236.394 Pflegekräfte auf die Dienste dieses Anbieters setzen und diesem wohl auch vertrauen.
Problematische Cookie-Behandlung
Beim Besuch der Portalseite bin ich sofort auf eine in meinen Augen problematische Cookie-Behandlung gestoßen. Mir wurde die übliche Einblendung zur Cookie-Annahme gezeigt. Das ist soweit in Ordnung – und die versichern dort im Popup schließlich, dass die Privatsphäre der Nutzer dem Unternehmen wichtig sei.
Anzeige
Wer also keine Marketing-Maßnahmen möchte, kann diese ablehnen. Ich habe dann aus Neugier Cookie Einstellungen als Link gewählt, weil ich sehen wollte, was passiert.
In der obigen Folgeseite werde ich informiert, welche Daten über Cookies erfasst werden sollen und könnte die Analyse sowie die Werbung durch Anklicken der Speichern-Schaltfläche ausblenden (habe ich aber nicht mehr durchgetestet).
Ich bin auf die Abbrechen-Schaltfläche gegangen und habe Bauklötze gestaunt. Dort wird mir mitgeteilt, dass meine Einstellungen noch nicht gespeichert seien. Indem ich die Webseite weiterhin nutze, würde ich der Pflegia-Richtlinie zur Datenerfassung auf der Website zustimmen. An dieser Stelle habe ich als Besucher schlicht keine Chance mehr, die Webseite "nicht mehr weiter zu nutzen", die ist im Browser ja geöffnet und müsste geschlossen werden.
Bei der Abbrechen-Schaltfläche könnte man erwarten, dass nichts passiert und der Besucher halt auf der Startseite des Portals verbleibt. Im konkreten Fall bedeutet Abbrechen nach meinem Test aber, dass Cookies von pflegia.de im Browser abgelegt werden. Ist für den nachfolgenden Datenschutzvorfall aber nicht relevant – hinterlässt bei mir aber keinen "guten" Eindruck.
Datenleck durch ungeschützten AWS Bucket
Das Cyberresearch Team von Cybernews hat sich am 8. Juni 2023 bei mir gemeldet, weil die bei Recherchen im Internet auf einen ungeschützten AWS Bucket gestoßen sind. Recherchen ergaben schnell, dass der AWS Bucket zur deutsche Plattform für die Personalbeschaffung im Gesundheitswesen, Pflegia, gehörte. Laut den Cybernews Sicherheitsforschern enthält der exponierte AWS-Bucket Hunderttausende von Dateien mit vertraulichen Informationen (wie beispielsweise das nachfolgend gezeigte, geschwärzte, Ausweisdokument).
Kopie eines Ausweisdokuments
Bei den meisten Dateien handelte es sich um von Nutzern eingereichte Lebensläufe mit Details wie:
- Vollständige Namen
- Geburtsdaten
- Beruflicher Werdegang
- Wohnadressen
- Telefonnummern
- E-Mail-Adressen
Im Prinzip hätte jeder Unbefugte auf diese persönlichen Informationen zugreifen können. "Die Offenlegung der Daten von Arbeitssuchenden setzt diese Betrügern aus, die sich als Personalvermittler ausgeben. Da die Angreifer bereits über genügend Informationen über potenzielle Opfer verfügen, könnten sie einen Angriff leicht als verlockendes Jobangebot tarnen", schrieben mir die Sicherheitsforscher.
Unternehmen reagiert und schweigt
Das Sicherheitsteam von Cybernews hat sich dann an an Pflegia gewandt, um den Vorfall mitzuteilen. Nach Aussage der Sicherheitsforscher hat Pflegia nicht geantwortet. Aber der betroffene Server wurde schnell für öffentliche Zugriffe per Internet gesperrt und das Datenleck damit geschlossen. Die Information von Cybernews ist also angekommen. Nun lag der Ball auf Seiten des Unternehmens, wo aber wohl "Schweigen herrscht", wie die Sicherheitsforscher schreiben.
Das Sicherheitsteam von Cybernews hat das Unternehmen im Nachgang um eine Stellungnahme gebeten, aber (laut eigener Aussage) bis zur Veröffentlichung dieses Artikels mit den Details noch keine Antwort erhalten. Ich habe am 8. Juni 2023 beim Schreiben dieses Beitrags kurz über die Pflegia-Webseite geschaut und dort auch keinen Hinweis auf einen Datenschutzvorfall erhalten.
Ob eine der auf der Plattform registrierten Personen (betrifft meiner Meinung nach sowohl Arbeitnehmer als auch Arbeitgeber) von Pflegia informiert wurde, entzieht sich meiner Kenntnis. Der Vorfall, der DSGVO-relevant ist, müsste den zuständigen Datenschutzbehörden unverzüglich angezeigt werden. Ob dies geschehen ist, bleibt momentan offen. Falls ein Betroffener zufälligerweise mitliest, kann er ja einen Kommentar hinterlassen.
Ich habe am 8. Juni 2023 sowohl bei Cybernews als auch bei Pflegia nach Details nachgefragt – erwarte aber wegen des Feiertags keine zeitnahen Antworten vom betreffenden Portal und den Presseleuten der Sicherheitsforscher.
Das Unternehmen hat bis zum 12. Juni 2023 nicht geantwortet. Hier der zeitliche Verlauf , den mir CyberNews mitgeteilt hat:
- Am 16. Mai wurde das Datenleck entdeckt.
- Pflegia wurde am 22. Mai 2023 und danach noch mehrmals kontaktiert
- Am 31. Mai wurde das Datenleck
Anzeige
