Potentielles Datenbank-Datenleck bei Nextcloud GmbH (von Mai 2026) behoben

Sicherheit (Pexels, allgemeine Nutzung)Da es von mehreren Lesern in Kommentaren angemerkt wurde, nehme ich es mal kurz in den Blog als Beitrag auf. Beim Entwickler der Nextcloud, der Nextcloud GmbH, wird eine ElasticSearch-Datenbank betrieben. Auf Grund eines Konfigurationsfehlers waren Zugriffe durch unbefugte Dritte auf diese Datenbank möglich. Das Problem ist behoben.

Ein Leserhinweis auf NextCloud-Datenleck

Blog-Leser Visitator hatte zum 8. Juli 2026 im Diskussionsbereich des Blogs auf das Thema hingewiesen (danke dafür). Sicherheitsforscher von Cybernews sind am 18. Mai 2026 im Internet auf eine ungesicherte ElasticSearch-Datenbank gestoßen, die öffentlich abrufbar war.

Es ließen sich 367.000 Datensätze auslesen, wobei eine Auswertung der Datensätze ergab, dass Rechnungen, Verträge, Mitarbeiterdaten, E-Mails und Installationsskripte gespeichert waren. Es führte zur Erkenntnis, dass der Server mit der ElasticSearch-Datenbank vom Nextcloud-Entwickler, der Nextcloud GmbH, betrieben wird.

Die in den Datensätzen offengelegten E-Mail-Daten und Skripte könnten Angreifern dabei helfen, Phishing-Nachrichten zu erstellen oder Kundensysteme auf Schwachstellen zu untersuchen, schreibt Cybernews. Die Sicherheitsforscher haben dann die Nextcloud GmbH kontaktiert und über den Sachverhalt informiert.

Inzwischen ist der betreffende ElasticSearch-Datenbank gesichert und für Dritte nicht mehr zugänglich. Das Unternehmen gibt an, den Landesdatenschutzbeauftragten benachrichtigt und keine Hinweise auf eine Ausnutzung gefunden zu haben.

Sowohl die Kollegen von deskmodder.de als auch heise.de hatten den Sachverhalt kurz beschrieben. Details lassen sich der Quelle, dem Cybernews-Artikel, entnehmen.

Kleine Einordnung

An dieser Stelle ist zur Einordnung anzumerken, dass der obige Vorfall nichts mit dem Nextcloud-Produkt an sich zu tun hat. Das sind vollständig unterschiedliche Produkte. Der Fehler ist, dass das Unternehmen eine Server mit einer ElasticSearch-Datenbank betrieben und nicht abgesichert hat.

Norddeutsch merkte im Diskussionsbereich an, dass Unternehmen & IT-Abteilungen bei Elasticsearch zu oft dazu neigen würden, dem einfachen Konzept sorglos zu vertrauen.  Das trifft aber nicht zu, auch wenn dies in der ElasticSearch-Doku als "[..] ships with good defaults and requires very little configuration" dargestellt wird. Bis ein saubere Config vom User-Rechte-Rollen-Konzept steht, ausgerollt sowie produktiv gepflegt oder betrieben wird, kennt Norddeutsch Fälle in denen das Wochen gedauert habe.

Der Ratschlag von Norddeutsch lautete: Vermeidung der Exponierung im Netz ist ein Ansatz. Ansätze wie die von Dev Sec Ops bestehen aus vier Schritten:

  1. Disable scripting
  2. Disable unused HTTP methods
  3. Restrict Port access
  4. Reverse Proxy.

Mitigation oder Maßnahmen (Instanz on-site, erreichbar nur per VPN) seien somit bekannt – Miskonfigurationen, Leaks und Incidents jedoch leider nicht selten, meint der Leser und verlinkte zu diversen Quellen. Wer hier im Blog nach ElasticServer sucht, wird fündig (siehe nachfolgende Links).

Ähnliche Artikel:
Deutscher Cloud-Provider: Massives Datenleck mit Daten von Bürgern Georgiens,
Neuer Hack bei brillen.de – 1,5 Millionen Kundendaten im Darknet aufgetaucht,
Datenbank mit 1,5 Milliarden Datensätze aus China geleakt

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen für den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.