Da es von mehreren Lesern in Kommentaren angemerkt wurde, nehme ich es mal kurz in den Blog als Beitrag auf. Beim Entwickler der Nextcloud, der Nextcloud GmbH, wird eine ElasticSearch-Datenbank betrieben. Auf Grund eines Konfigurationsfehlers waren Zugriffe durch unbefugte Dritte auf diese Datenbank möglich. Das Problem ist behoben.
Ein Leserhinweis auf NextCloud-Datenleck
Blog-Leser Visitator hatte zum 8. Juli 2026 im Diskussionsbereich des Blogs auf das Thema hingewiesen (danke dafür). Sicherheitsforscher von Cybernews sind am 18. Mai 2026 im Internet auf eine ungesicherte ElasticSearch-Datenbank gestoßen, die öffentlich abrufbar war.
Es ließen sich 367.000 Datensätze auslesen, wobei eine Auswertung der Datensätze ergab, dass Rechnungen, Verträge, Mitarbeiterdaten, E-Mails und Installationsskripte gespeichert waren. Es führte zur Erkenntnis, dass der Server mit der ElasticSearch-Datenbank vom Nextcloud-Entwickler, der Nextcloud GmbH, betrieben wird.
Die in den Datensätzen offengelegten E-Mail-Daten und Skripte könnten Angreifern dabei helfen, Phishing-Nachrichten zu erstellen oder Kundensysteme auf Schwachstellen zu untersuchen, schreibt Cybernews. Die Sicherheitsforscher haben dann die Nextcloud GmbH kontaktiert und über den Sachverhalt informiert.
Inzwischen ist der betreffende ElasticSearch-Datenbank gesichert und für Dritte nicht mehr zugänglich. Das Unternehmen gibt an, den Landesdatenschutzbeauftragten benachrichtigt und keine Hinweise auf eine Ausnutzung gefunden zu haben.
Sowohl die Kollegen von deskmodder.de als auch heise.de hatten den Sachverhalt kurz beschrieben. Details lassen sich der Quelle, dem Cybernews-Artikel, entnehmen.
Kleine Einordnung
An dieser Stelle ist zur Einordnung anzumerken, dass der obige Vorfall nichts mit dem Nextcloud-Produkt an sich zu tun hat. Das sind vollständig unterschiedliche Produkte. Der Fehler ist, dass das Unternehmen eine Server mit einer ElasticSearch-Datenbank betrieben und nicht abgesichert hat.
Norddeutsch merkte im Diskussionsbereich an, dass Unternehmen & IT-Abteilungen bei Elasticsearch zu oft dazu neigen würden, dem einfachen Konzept sorglos zu vertrauen. Das trifft aber nicht zu, auch wenn dies in der ElasticSearch-Doku als "[..] ships with good defaults and requires very little configuration" dargestellt wird. Bis ein saubere Config vom User-Rechte-Rollen-Konzept steht, ausgerollt sowie produktiv gepflegt oder betrieben wird, kennt Norddeutsch Fälle in denen das Wochen gedauert habe.
Der Ratschlag von Norddeutsch lautete: Vermeidung der Exponierung im Netz ist ein Ansatz. Ansätze wie die von Dev Sec Ops bestehen aus vier Schritten:
- Disable scripting
- Disable unused HTTP methods
- Restrict Port access
- Reverse Proxy.
Mitigation oder Maßnahmen (Instanz on-site, erreichbar nur per VPN) seien somit bekannt – Miskonfigurationen, Leaks und Incidents jedoch leider nicht selten, meint der Leser und verlinkte zu diversen Quellen. Wer hier im Blog nach ElasticServer sucht, wird fündig (siehe nachfolgende Links).
Ähnliche Artikel:
Deutscher Cloud-Provider: Massives Datenleck mit Daten von Bürgern Georgiens,
Neuer Hack bei brillen.de – 1,5 Millionen Kundendaten im Darknet aufgetaucht,
Datenbank mit 1,5 Milliarden Datensätze aus China geleakt



MVP: 2013 – 2016




