Manche Organisationen sind von vornherein exklusiv ausgerichtet. Sie sind nur auf Einladung zugänglich und diskret – genau die Art von Ort, an dem das Mitgliederverzeichnis das eigentliche Produkt ist.
„Dialog“, das exklusive Netzwerk, das vom Milliardär, Investor und PayPal Peter Thiel gegründet wurde und zu dessen Mitgliedern ein amtierender NATO-Kommandeur, zwei US-Senatoren sowie der US-Finanzminister zählen, ist eines davon.
Letzte Woche lagen Informationen zu Hunderten dieser Mitglieder im Klartext auf der App-Vertriebsseite des Unternehmens und waren für jeden sichtbar, der wusste, wie man mit der rechten Maustaste klickt. Daraufhin gab Dialog bekannt, dass man gehackt worden sei.
Eine Anmeldeseite, die direkt zu den Dateien der Mitglieder führte
Die Website wurde eingerichtet, um eine Smartphone-App zu verbreiten, die ein bevorstehendes Treffen des Netzwerks unterstützen sollte, das exklusive Veranstaltungen organisiert. Jeder Besucher konnte sich mit einer beliebigen E-Mail-Adresse registrieren. Ein Passwort wurde nicht abgefragt.
Nach dem Absenden einer E-Mail gelangte der Besucher auf eine fast leere Zwischenseite, die Berichten zufolge interne Dateien zu rund 200 prominenten Personen direkt in seinen Browser lud. Diese waren mithilfe von „in jedem gängigen Browser integrierten Tools“ einsehbar, womit offenbar die in den Browsern integrierten Entwicklertools gemeint sind.
Diese Dateien waren nicht minimal. Beim Laden der Fragebogenformulare wurden Geburtsdaten, Notfallkontakte, Handynummern, die politischen Tendenzen, die Dialog seinen Mitgliedern zuordnet, interne Ranglisten und Bewertungsnotizen sowie die digitalen Schlüssel, die den Mitgliedern als Anmeldedaten dienen, offengelegt. Bei fast allen von ihnen waren die offengelegten Daten umfassend, von privaten Kontaktdaten bis hin zu aktiven Anmeldetoken.
Zu den Einträgen gehörten auch ein derzeitiger Geheimdienstmitarbeiter des Weißen Hauses, ein General a. D., der eine leitende Position im US-Geheimdienst innehatte, sowie die Leiter der Abteilung für nationale Sicherheitspolitik bei zwei führenden KI-Unternehmen. Dialog bewertet die Teilnehmer zudem intern und berücksichtigt dabei deren Vermögen und Bekanntheitsgrad bei Entscheidungen über Zulassung, Sitzplatzvergabe und Preisgestaltung. Diese Bewertungen gehörten zu den Informationen, die im öffentlichen HTML-Code zu finden waren.
Dialog in der Defensive
Der Geschäftsführer von Dialog bezeichnete den Zugriff als Hackerangriff
„von einem bekannten Straftäter begangen, der in den Vereinigten Staaten gesucht wird.“
WIRED, das diese Geschichte erstmals veröffentlichte, fand keine Hinweise darauf, dass ein Einbruch erforderlich gewesen wäre. Tatsächlich scheint es kaum mehr als das Anklicken eines Links auf einer Webseite gewesen zu sein.
Die Formulare wurden mit Fillout erstellt, einem beliebten Online-Formular-Generator. Die Daten wurden in Airtable gespeichert, einer weit verbreiteten Cloud-Datenbankplattform. Fillout erklärte, dass dem Unternehmen keine Sicherheitsverletzungen in seinen eigenen Systemen bekannt seien, und wies darauf hin, dass die Kunden selbst für die Konfiguration ihrer Formulare, der verbundenen Datenquellen und der Arbeitsabläufe verantwortlich seien.
Dialog hat nicht mitgeteilt, wann die fehlerhaft konfigurierte Seite erstmals online ging, was bedeutet, dass die Daten der Mitglieder möglicherweise über einen unbestimmten Zeitraum hinweg frei zugänglich waren, bevor der Fehler entdeckt wurde.
Fehlerhafte Sicherheitskonfigurationen belegen nun Platz 2 der OWASP Top 10 für 2025, einer branchenweiten Liste der größten Sicherheitsrisiken für Anwendungen. Damit sind sie gegenüber Platz 5 im Jahr 2021 aufgestiegen. Auf diese Kategorie entfallen mehr als 719.000 dokumentierte Sicherheitslücken.
Die Lösung ist ebenfalls ganz einfach: Richten Sie Systeme nur mit den Funktionen ein, die Sie benötigen, und konfigurieren Sie diese sicher.
Was das für den Rest von uns bedeutet
Die Art und Weise, wie Organisationen Vorfälle beschreiben, hat Auswirkungen, die über einen einzelnen Sicherheitsvorfall hinausgehen. Wenn bereits der bloße Zugriff auf öffentlich zugängliche Informationen routinemäßig als „Hack“ bezeichnet wird, könnten Sicherheitsforscher zögern, exponierte Systeme zu untersuchen und verantwortungsbewusst offenzulegen, wodurch Fehlkonfigurationen länger unentdeckt bleiben.
Für Endnutzer ist diese Erkenntnis älter als das Internet selbst. Wenn ein Unternehmen Ihr Geburtsdatum, Ihre Notfallkontakte und eine interne Bewertung Ihres Wertes für das Unternehmen erfasst, fragen Sie nach, wo diese Daten gespeichert werden. Jede Antwort, die „auf unserer Website“ beinhaltet, verdient eine weitere Frage, und alles, was sich mit „Wir nehmen Ihre Sicherheit sehr ernst“ begnügt, sollte genauer hinterfragt werden.
