Auf den Punkt: Eine fehlkonfigurierte Elasticsearch-Instanz von Nextcloud legte über längere Zeit interne Firmendaten, Kundenverträge, Datenbankzugangsdaten und Mitarbeiterkontakte frei, wurde aber ohne erkannten Missbrauch geschlossen.
Sicherheitsforscher von Cybernews entdeckten am 18. Mai eine ungeschützte Elasticsearch-Instanz von Nextcloud mit 367.000 Datensätzen im Umfang von 7,9 Gigabyte. Die offengelegte Datenbank enthielt Kundenverträge, Rechnungen und Installationsskripte.
Die Elasticsearch-Instanz war über einen längeren Zeitraum öffentlich zugänglich und enthielt umfangreiches Material aus der Nextcloud-Infrastruktur. Den größten Datentypanteil bildeten PDF-Dokumente (etwa 71.000), gefolgt von rund 53.000 PNG-Bildern und knapp 23.000 Markdown-Dateien. Unter den unverschlüsselt gespeicherten Inhalten befanden sich Rechnungen, die Nextcloud an Kunden gestellt oder von Lieferanten erhalten hatte, aus denen sich E-Mail-Adressen von Nextcloud-Mitarbeitern sowie Namen und Adressen von Kundenunternehmen extrahieren ließen.
Darüber hinaus lagen exponiert Shell- und Python-Skripte vor, die Nextcloud für einzelne Kunden zur Installation auf deren Infrastruktur erstellt hatte – teilweise mit hartcodierten Datenbankzugangsdaten. Die Datenbank enthielt auch E-Mail-Nachrichten im EML-Format mit Zeitstempel, Absender und Empfängerangaben, sowie Listen mit vollständigen Namen und dienstlichen E-Mail-Adressen von Betatestern. Zu den geschäftlichen Unterlagen zählten Verträge, Vorlagen und Zusammenfassungen mit Angaben zu Leistungsumfang, Nutzerzahlen und Vertragsbedingungen. Unter den identifizierten Kontakten befanden sich auch Personen bei Hosting-Anbietern wie IONOS und Strato sowie Mitarbeiter des Schulministeriums Nordrhein-Westfalen.
Nextcloud erklärte Cybernews gegenüber, die Ursache liege in einer Fehlkonfiguration der eigenen Hosting-Infrastruktur und stehe nicht im Zusammenhang mit der Nextcloud-Software selbst. Server von Kunden, Partnern oder anderen Nutzern seien nicht betroffen gewesen. Der Cluster wurde zwei Tage nach der Meldung durch die Forscher geschlossen und ist seither nicht mehr öffentlich erreichbar. Nextcloud meldete den Vorfall der zuständigen Landesdatenschutzbehörde. Weder Nextcloud noch die Sicherheitsforscher haben bislang Hinweise auf einen tatsächlichen Missbrauch der freigegebenen Daten.
Quelle: www.it-daily.net · Erschienen 8. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.