{"id":324712,"date":"2026-05-08T00:01:28","date_gmt":"2026-05-07T22:01:28","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324712"},"modified":"2026-05-07T23:48:00","modified_gmt":"2026-05-07T21:48:00","slug":"plattform-clickup-legt-kunden-e-mails-ueber-465-tage-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/08\/plattform-clickup-legt-kunden-e-mails-ueber-465-tage-offen\/","title":{"rendered":"Plattform ClickUp legt Kunden-E-Mails \u00fcber 465 Tage offen"},"content":{"rendered":"

\"SicherheitNoch ein kleines Freitagsthema, was mir bereits seit einigen Tagen untergekommen ist. Die SaaS-Plattform ClickUp hatte ihre Interna nicht wirklich im Griff. Wie sich herausgestellt hat, wurden von ClickUp Kunden-E-Mails \u00fcber 465 Tage offengelegt. Ich kein wirkliches Problem, 85 % der Fortune-500-US-Unternehmen die die SaaS-Plattform nutzen – \"man ist also in guter Gesellschaft\".<\/p>\n

<\/p>\n

Was ist ClickUp?<\/h2>\n

\"\"Mir sagte die Plattform nichts, aber laut Wikipedia ist ClickUp<\/a> ein Anbieter von Projektmanagement-Software. Es wird eine All-in-One-Plattform als Software as a Service (SAAS) zur Steigerung der Effizienz am Arbeitsplatz und zur Verbesserung der Zusammenarbeit bereitstellt. Kein Wunder, dass US Fortune 500-Unternehmen darauf fliegen.<\/p>\n

\"ClickUp\"<\/a><\/p>\n

Zu den Funktionen geh\u00f6ren Aufgaben, Chat, Tabellenkalkulationen, Whiteboards und die gemeinsame Bearbeitung von Dokumenten. Geworben wird, das alles auf einer einheitlichen Plattform l\u00e4uft und sogar kostenlos sei.<\/p>\n

ClickUp hat k\u00fcrzlich bei einer neuen Finanzierungsrunde 535 Millionen Dollar eingesammelt. Die Bewertung des Unternehmens bzw. der Plattform liegt bei irren 4 Milliarden US-Dollar. Das Unternehmen behauptet, dass 85 % der Fortune-500-Unternehmen die Plattform nutzen.<\/p>\n

Recherchiert man in Deutschland per Internet nach der Plattform, springen einem sofort \"DSGVO-konforme EU-Alternative zu ClickUp\"-Treffer zu awork oder Stackfield entgegen. Von daher wei\u00df ich nicht wirklich, wie breit die Plattform in der EU und in DACH im Einsatz ist.<\/p>\n

Token im Quellcode; Kundendaten frei abrufbar<\/h2>\n

Bereits Ende April 2026 meldete sich jemand mit dem Alias @weezerOSINT<\/em> auf der Plattform X mit nachfolgendem Tweet<\/a>. Beim Besuch der Seite clickup[.]com<\/em> sei er bei der Inspektion des Quellcodes auf\u00a0ein fest codiertes Split[.]io-SDK-Token gesto\u00dfen, das im Klartext im Produktions-JavaScript-Bundle von ClickUp enthalten war.<\/p>\n

\"ClickUp<\/a><\/p>\n

@weezerOSINT<\/em> schrieb in Folge-Tweets, dass der Schl\u00fcssel ein SDK-Token von http:\/\/Split[.]io<\/em> sei. Der Key befindet sich im Produktions-JS-Bundle unter *http:\/\/app-cdn.clickup.com<\/em>.<\/p>\n

Das Bundle wird bereits vor einer Benutzeranmeldung an der Plattform geladen, gibt die Person an. Es reicht, den Quellcode anzuzeigen, den Schl\u00fcssel zu kopieren, und dann eine einzige (nicht authentifizierte) GET-Anfrage zu senden. Schon wurden der Person 4,5 MB an internen ClickUp-Konfigurationsdaten pro Anfrage offengelegt. Laut @weezerOSINT<\/em>enthielten diese Konfigurationsdaten 959 Kunden-E-Mail-Adressen und 3.165 interne Feature-Flags.<\/p>\n

Der Entdecker nennt einige Kunden von ClickUp, darunter Mitarbeiter von Home Depot, Fortinet, Autodesk, Tenable, Rakuten, Mayo Clinic, Permira, oder Akin Gump.\u00a0 Auch Regierungsangestellte aus Wyoming, Arkansas, North Carolina, Montana, Queensland (Australien) und Neuseeland fanden sich mit ihren E-Mail-Adressen. Hinzu kamen ein Microsoft-Auftragnehmer sowie 71 ClickUp-Mitarbeiter.<\/p>\n

Schaut man sich die Kundenliste an, k\u00f6nnte man in Sachen Cyber-Awareness und -Sicherheit schon ins Gr\u00fcbeln kommen. Das Unternehmen\u00a0Fortinet verkauft Firewalls f\u00fcr Unternehmen, treibt sich aber auf einer solchen Plattform herum. Sicherheitsanbieter Tenable entwickelt Nessus, einen Schwachstellenscanner, den die H\u00e4lfte der Branche nutzt.<\/p>\n

Und nun sind die E-Mail-Adressen dieser Firmenmitarbeiter offengelegt. Und alles nur, weil ClickUp nach Angabe des Entdeckers den API-Schl\u00fcssel eines Drittanbieters fest in eine JavaScript-Datei eingebettet hat, die bereits vor der Anmeldung geladen wird. Das ist dann schon ein wenig heftig, l\u00e4sst sich aber noch steigern.<\/p>\n

Zweite Sicherheitsl\u00fccke erm\u00f6glicht Scan<\/h2>\n

@weezerOSINT<\/em> gibt an, dass es eine zweite Sicherheitsl\u00fccke in der Plattform gebe. Die Webhook-API von ClickUp verf\u00fcgt laut Tweet-Ersteller \u00fcber keinerlei SSRF-Schutz. Server\u2011Side Request Forgery (SSRF<\/em>) ist eine Schwachstelle, die es einem Angreifer erlaubt, Netzwerk-Anfragen an beliebige Ziele zu senden.<\/p>\n

Dazu hat @weezerOSINT<\/em> sich f\u00fcr ein Free-Konto bei ClickUp registriert und dann eine Anmeldung am Konto durchgef\u00fchrt. Im Anschluss hat er einen Webhook eingerichtet, der auf die IP-Adresse 169.254.169.254 verwies. Das sei der AWS-Metadaten-Dienst, der IAM-Anmeldedaten zur\u00fcckgibt, hei\u00dft es ein einem Tweet. Nun habe @weezerOSINT<\/em> den Webhook\u00a0durch das Erstellen einer Aufgabe ausgel\u00f6st. Die Folge: Ein kostenloses ClickUp-Konto ohne jegliche Zahlung kann die gesamte interne AWS-Infrastruktur scannen.<\/p>\n

Vom Leak zum Skandal<\/h2>\n

Aber das Ganze l\u00e4sst sich dann noch ein wenig steigern, und man sieht, wie windig diese gesamte Branche agiert. Am 8. April 2026 hat @weezerOSINT<\/em> das Sicherheitsproblem \u00fcber HackerOne gemeldet. Dabei wurden von ihm Port-Scans, \"http:\/\/webhook.site\"-Logs mit eigenen ClickUp-IPs, Weiterleitungsketten zu IMDS und Redis sowie alle Nicht-HTTP-Protokolle eingereicht.<\/p>\n

Als @weezerOSINT<\/em> mit dem Fall auf X an die \u00d6ffentlichkeit ging, waren 19 Tage ohne Reaktion von ClickUp verstrichen. Der Fall befand sich immer noch im Status \"Neu\" und es gab auch keine Antwort von ClickUp.<\/p>\n

Aber es kommt noch besser, denn zwei Tage nach der Meldung wurde der <\/i>Bug-Report laut diesem Tweet<\/a> bei split[.]io<\/em>-geschlossen. Die Meldung wurde als \"Duplikat eines Berichts vom Januar 2025\" markiert. Hei\u00dft, dass diese Schwachstelle bereits 15 Monate vorher berichtet wurde und es keinerlei Abhilfema\u00dfnahmen gab.<\/p>\n

@weezerOSINT<\/em>\u00a0 schreibt, dass er sich gewehrt habe. Er habe \"ihnen\" (wohl split[.]io sowie ClickUp) 959 E-Mails vorgelegt, darunter auch von Regierungsmitarbeitern aus drei L\u00e4ndern. Er habe den Leuten Schreibzugriff auf die Experimentierplattform von ClickUp gezeigt. Er habe ihnen ein aktives API-Token f\u00fcr einen US-Schulbezirk gezeigt, das in die Flag-Konfiguration eingebettet war. HackerOne habe den Fall trotzdem geschlossen.<\/p>\n

Dann gibt @weezerOSINT<\/em> an, eine E-Mail an die ClickUp-Sicherheitsabteilung geschickt und direkt an den CEO geschrieben zu haben. Dem Unternehmen wurde auf X eine Direktnachricht geschickt. Keine Antwort auf irgendeinem Kanal, sagt @weezerOSINT<\/em>.\u00a0ClickUp hat kein Bug-Bounty-Programm, merkt @weezerOSINT <\/em>an. Auf deren Offenlegungsseite steht, dass das Bounty-Programm \"nicht mehr aktiv ist\". ClickUp nimmt Schwachstellenberichte nun noch \u00fcber HackerOne entgegen, zahlen nichts und lassen best\u00e4tigte Probleme \u00fcber ein Jahr lang liegen, w\u00e4hrend die personenbezogenen Daten der Kunden weiterhin ungesch\u00fctzt sind, lautete der auf X erhobene Vorwurf.<\/p>\n

Am 1. Mai 2026 hat @weezerOSINT<\/em> dann in diesem Tweet<\/a> ein Update gegeben. ClickUp hat f\u00fcr die beiden Sicherheitsl\u00fccken \"http:\/\/Split[.]io\" und \"SSRF\" die maximale Pr\u00e4mie sowie einen Willkommensbonus ausgezahlt bekommen. Das seien insgesamt 5.000 US-Dollar gewesen. Zudem h\u00e4tten sich der CEOs Zeb und ihr CISO Chris bei\u00a0@weezerOSINT <\/em>gemeldet.<\/p>\n

Beide h\u00e4tten die volle Verantwortung f\u00fcr die Probleme (eher Schlampereien) \u00fcbernommen. Nun arbeite man gemeinsam an der weiteren Verbesserung der Sicherheit dieser (mutma\u00dflich kaputten) Plattform. So sieht es mutma\u00dflich also \"unter der Haube\" von mit 4 Milliarden US-Dollar bewerteten Plattformen aus.<\/p>\n","protected":false},"excerpt":{"rendered":"

Noch ein kleines Freitagsthema, was mir bereits seit einigen Tagen untergekommen ist. Die SaaS-Plattform ClickUp hatte ihre Interna nicht wirklich im Griff. Wie sich herausgestellt hat, wurden von ClickUp Kunden-E-Mails \u00fcber 465 Tage offengelegt. Ich kein wirkliches Problem, 85 % … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039,426],"tags":[4353,4328],"class_list":["post-324712","post","type-post","status-publish","format-standard","hentry","category-mail","category-sicherheit","tag-mail","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324712","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=324712"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324712\/revisions"}],"predecessor-version":[{"id":324716,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324712\/revisions\/324716"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=324712"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=324712"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=324712"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}