![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Unsch\u00f6ne Geschichte, die Anwaltsplattform \"Advocado\" hat zwar einen einschmeichelnden Namen (der mich an eine Frucht erinnert), patz aber bei der Datensicherheit. Der Chaos Computer Club ist, laut einer gestrigen Mitteilung, \u00fcber ein Debug-Werkzeug der Plattform auf hochgeladene Dokumente und Gespr\u00e4chsaufzeichnungen gesto\u00dfen.<\/p>\n
<\/p>\n
Die Webseite advocado.de hat ein einfaches Gesch\u00e4ftsmodell: Nach dem Aufruf der Seite erscheint ein Formular, bei dem ein Interessent angibt, ob er ein privates oder gesch\u00e4ftliches Rechtsproblem hat. Dann kann er in einem Feld sein Anliegen schildern.<\/p>\n
![\"Plattform](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/image-74.png\")
<\/p>\n
Der Interessent wird dann durch einen Fragenkatalog geleitet, in denen er sein Anliegen genauer beschreiben kann. Dabei l\u00e4sst sich das Problem auch per Mikrofon diktieren. Anschlie\u00dfend noch die Kontaktdaten angeben und mitteilen, ob man eine Rechtsschutzversicherung hat (ob die auch Advocard akzeptieren, habe ich nicht mehr gepr\u00fcft).<\/p>\n
![\"advocado.de](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/image-75.png\")
<\/p>\n
Jedenfalls gl\u00e4nzt die Seite mit f\u00fcnf Sterne-Bewertungen und weiteren Auszeichnungen. Sind die Fragen beantwortet, stellt die Schaltfl\u00e4che \"Jetzt pr\u00fcfen\" die Anfrage auf der Plattform ein. Partneranw\u00e4lte der Plattform k\u00f6nnen dann die Anfragen sichten und sich mit dem potentiellen neuen Mandanten kurzschlie\u00dfen, wenn sie an einem Mandat Interesse haben. Alles plain und easy.<\/p>\n
Die Jungs und M\u00e4dels des Chaos Computer Clubs besch\u00e4ftigen sich immer mal wieder mit Datenlecks bei Legal-Tech-Anbietern. Auf der Plattform advocado.de wird das PHP-Framework Symfony verwendet, und die Leute vom CCC sind dann auf ein Debug-Werkzeug f\u00fcr diese Plattform gesto\u00dfen, welches ohne Authentifizierung per Internet abrufbar war. So etwas ist ein Kardinalfehler, da man mittels solcher Debug-Funktionen auf interne Server-Parameter zugreifen kann.<\/p>\n
Im aktuellen Fall\u00a0befand sich ein g\u00fcltiger Zugang zu einem git-Repository in den internen Server-Parametern. Das git-Repository enthielt neben dem Quellcode auch weitere Zugangsdaten. So wissen die Leute vom CCC jetzt unter anderem die Zugangsdaten des betriebenen Fax-Diensts (wichtigstes Utensil ever), die Daten f\u00fcr den Zugang zum Zahlungsdienstleister und auch alle Credentials zum Zugriff auf die Dateiablage der Plattform bei AWS S3.<\/p>\n
Dort konnte auf zahlreiche, auf das Amazon Web Services S3-Bucket hochgeladene, Dokumente zugegriffen werden. Zu den Dokumenten geh\u00f6rten Ausweiskopien oder Inkasso-Schreiben, Rechnungen von Kanzleien und Gerichten, sowie Bild- und Tonaufzeichnungen von Gespr\u00e4chen, wie der CCC in dieser Meldung<\/a> vom 24. M\u00e4rz 2026 mitteilte (via<\/a>).<\/p>\n Der CCC hat den Betreiber von advocado.de zeitnah informiert, der dann das Debug-Tool offline genommen hat. Die Leute vom CCC merken an, dass man Debug-Tools grunds\u00e4tzlich nur abgesichert per Internet zug\u00e4nglich machen soll. Zudem sollte die Notwendigkeit zur Speicherung sensibler Daten hinterfragt werden. Zahlungsdaten sollten zudem nur in verschl\u00fcsselter Form, und nicht im Klartet, abgelegt werden. Zudem gibt es den Vorwurf, dass das Framework Symfony das versehentliche Exponieren des Profilers erschweren k\u00f6nnte, um die Nutzer nichts ins \"offene Messer\" laufen zu lassen.<\/p>\n","protected":false},"excerpt":{"rendered":" Unsch\u00f6ne Geschichte, die Anwaltsplattform \"Advocado\" hat zwar einen einschmeichelnden Namen (der mich an eine Frucht erinnert), patz aber bei der Datensicherheit. Der Chaos Computer Club ist, laut einer gestrigen Mitteilung, \u00fcber ein Debug-Werkzeug der Plattform auf hochgeladene Dokumente und Gespr\u00e4chsaufzeichnungen … Weiterlesen Datenleck zwischenzeitlich geschlossen<\/h2>\n