Datenleck bei Typeform: Einbrecher stahlen Kunden- und Formulardaten
Viele Webseiten verwenden personalisierte Umfragen des Anbieters Typeform. Nun kopierten Angreifer die eingetippten Daten von mehr als 20.000 Besuchern.
(Bild: typeform.com)
Das Software-as-a-Service-Unternehmen Typeform ist Opfer eines Servereinbruchs geworden, bei dem es den Angreifern offenbar gelang, Nutzerdaten zu kopieren. Typeform entwickelt Online-Umfragen und -Quizze sowie Kontakt- und Feedbackformulare, die registrierte Kunden personalisieren und in ihre Webseiten einbauen können.
Aus einer E-Mail, in der Typeform betroffene Kunden über den Einbruch informierte, geht hervor, dass sich unter den kopierten Daten nutzerspezifische API-Keys, OAuth- sowie weitere Access-Tokens für den Zugriff auf Umfragen nebst Ergebnissen befanden. Außerdem seien Daten kopiert worden, die Webseiten-Besucher in Typeform-Formulare eingaben. Da Typeform ganz unterschiedliche Art von Formularen bereitstellt, dürften auch die gestohlenen Datensätze stark variieren.
Sämtliche Daten sollen laut Typeform aus einem Server-Backup vom 3. Mai stammen, so dass ab diesem Zeitpunkt gesammelte Daten wohl nicht betroffen sind – ebenso wenig wie Typeform-Passwörter und Bezahldaten. Laut offiziellem Statement entdeckte das Typeform-Team den Einbruch am 27. Juni, behob die zugrundeliegende (und nicht näher bezeichnete) Schwachstelle innerhalb von einer halben Stunde und informierte sämtliche Betroffenen.
Betroffene Unternehmen melden sich zu Wort
Der Vorfall erinnert ein wenig an den Datendiebstahl beim Booking-Provider Fastbooking in der vergangenen Woche: Auch FastBooking hatte keinerlei Angaben zum Ausmaß des Vorfalls gemacht. Da Typeform ähnlich wie der Booking-Provider als Dienstleister für große Unternehmen (darunter Airbnb, Apple, Nike und Uber) tätig ist, Typeform-Formulare aber auch von Privatpersonen und kleinen Firmen in Webseiten eingebaut werden können, sind die Dimensionen erneut schwer abzuschätzen.
Mittlerweile haben sich allerdings einige betroffene Unternehmen und Behörden zum Datendiebstahl bei Typeform geäußert. The Register berichtet in einer Meldung von E-Mails, die die Hotelkette Travelodge an ihre Gäste verschickte: Offenbar wurden Vornamen, Geburtsdaten, Handynummern und E-Mail-Adressen aus einer mit Typeform erstellten Umfrage gestohlen. Zur Beute der Einbrecher gehören außerdem E-Mail-Adressen von rund 20.000 Kunden der britischen Monzo-Bank. Die Wahlkommission Tasmaniens offenbarte derweil in einem Statement, dass Namen, (E-Mail-)Adressen und Geburtsdaten von Einwohnern entwendet wurden, die sich via Typeform an Regionalwahlen beteiligten. (ovw)
