Security Disclosure: TemplateMonster.com User API – Offenlegung personenbezogener Daten

Security Disclosure: TemplateMonster.com User API – Offenlegung personenbezogener Daten

Zusammenfassung:
Eine Sicherheitslücke in der User-API von TemplateMonster.com ermöglicht es, zu prüfen, ob eine bestimmte E-Mail-Adresse auf der Plattform registriert ist. Bei registrierten Benutzern werden zudem der vollständige Name der Kunden angezeigt. Diese Schwachstelle stellt ein erhebliches Risiko für den Datenschutz dar und entspricht nicht den Anforderungen der DSGVO.

Betroffener Endpunkt:

GET https://users.templatemonster.com/api/v1/users/lookup?login=<email>&expand=authClients

Beschreibung der Schwachstelle:
Durch Anfragen an den oben genannten Endpunkt lässt sich feststellen, ob eine E-Mail-Adresse einem registrierten Benutzerkonto zugeordnet ist. Für existierende Benutzer liefert die API zudem den vollständigen Namen der Kunden. Beispiel:

https://users.templatemonster.com/api/v1/users/[email protected]&expand=authClients

Die Antwort enthält:

  • Registrierungsstatus des Benutzers
  • Vollständiger Name des registrierten Benutzers

Zusätzliche Problematik:
Zeitgleich mit der initialen Entdeckung am 11. September 2025 trat ein CORS-Fehler auf, der es registrierten Benutzern unmöglich machte, sich korrekt anzumelden. Die Schwachstelle zusammen mit dem CORS-Fehler wurde bereits am 11. September 2025 an TemplateMonster gemeldet. Trotz der Meldung hat das Unternehmen nicht einmal eine Antwort-E-Mail formuliert. Der CORS-Fehler wurde daraufhin zwar behoben, die Sicherheitslücke in der API wurde jedoch nicht adressiert. Dies deutet auf ein sehr schlechtes Sicherheits- und Berichtsmanagement bei TemplateMonster hin.

Auswirkungen:

  1. Datenschutzrisiko & DSGVO-Verstoß:
    Die API gibt personenbezogene Daten ohne Authentifizierung oder Einwilligung preis. Vollständige Namen gelten als personenbezogene Daten nach DSGVO. Eine öffentliche Zugänglichmachung verletzt somit die Datenschutzanforderungen.
  2. Benutzerkonten-Erkennung & Credential-Stuffing:
    Angreifer können vorab prüfen, ob E-Mail-Adressen aus geleakten Datenbanken bei TemplateMonster registriert sind. Dies erleichtert gezielte Angriffe, Phishing und Credential-Stuffing-Versuche.
  3. Datenanreicherung durch Angreifer:
    Die Offenlegung der vollständigen Namen erlaubt es Angreifern, bestehende Datensätze mit realen Identitäten anzureichern, was Risiken wie Identitätsdiebstahl oder Social Engineering deutlich erhöht.

Schweregrad: Hoch

Empfohlene Maßnahmen:

  • Zugriff auf den User-Lookup-Endpunkt nur für authentifizierte Benutzer erlauben.
  • Personenbezogene Daten wie vollständige Namen in Antworten für nicht authentifizierte Anfragen maskieren oder ausblenden.
  • Rate-Limiting implementieren, um automatisierte Abfragen zu erschweren.
  • Überprüfung der DSGVO-Konformität zur korrekten Verarbeitung personenbezogener Daten.

Zeitleiste der Entdeckung und Meldung:

  • 11. September 2025 – Initiale Entdeckung der API-Schwachstelle und des CORS-Fehlers, erste Meldung an TemplateMonster. Keine Antwort von TemplateMonster.
  • CORS-Fehler – daraufhin behoben, Sicherheitslücke blieb bestehen.
  • 15. September 2025 – Follow-up mit detaillierten Informationen zur Benutzerdaten-Offenlegung übermittelt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert