Sicherheit + Datenschutz 15. März 2026 3 Min Lesezeit

Riesiges Datenleck bei 2 Apps: Millionen Nutzerdaten durch Cloud-Fehler öffentlich

Geschrieben von
Miriam Schäfer
Datenleck bei 2 Apps grosse Datenpanne

In den letzten Wochen sorgte eine schwerwiegende Datenpanne bei zwei weit verbreiteten Apps für Aufsehen: Millionen von Nutzerdaten waren zeitweise frei im Internet zugänglich – teilweise ohne jegliche Zugriffsbeschränkung. Besonders brisant: Die Ursache war kein gezielter Hackerangriff, sondern ein grundlegender Fehler in der Cloud-Infrastruktur der Anwendung. Nach Bekanntwerden des Vorfalls wurden die betroffenen Apps aus dem Google Play Store entfernt. Sicherheitsexperten stufen die Datenpanne als gravierend ein, da grosse Mengen an Mediendaten betroffen waren.

Datenleck bei 2 Apps: Millionen Inhalte öffentlich

Im Zentrum stehen zwei Apps mit grundlegend unterschiedlichen Sicherheitsproblemen.

Die erste Anwendung verarbeitet Bilder und Videos. Durch eine fehlerhafte Konfiguration des Cloud-Speichers waren mehr als 12 Terabyte an Daten öffentlich zugänglich – darunter über 1,5 Millionen Bilder und rund 385 000 Videos.

Die zweite App war auf die Verarbeitung und Verifizierung personenbezogener Informationen ausgelegt. Hier ging es nicht um Mediendaten, sondern um sensible persönliche Angaben: Namen, Adressen, Geburtsdaten, Telefonnummern und weitere identitätsrelevante Daten von Nutzern aus rund 25 Ländern.

Der Zugriff auf diese Daten war ohne Authentifizierung möglich – kein Login, kein Benutzerkonto erforderlich.

Verantwortlich war kein Angriff von aussen, sondern ein Konfigurationsfehler auf Entwicklerseite.

Die betroffenen Apps sind inzwischen aus dem Store entfernt, die offenen Speicherzugriffe geschlossen.

Über die Cloud ins Risiko: Ursachen für die Datenpanne

Der Vorfall zeigt ein bekanntes, aber oft unterschätztes Problem: Sicherheitslücken durch fehlerhafte Cloud-Konfigurationen.

  • Fehlkonfigurierte Cloud‑Speicher: Der Cloud‑Bucket war ohne Zugangsbeschränkung erreichbar – weder Benutzerkonten noch Login‑Systeme schützten die Inhalte.
  • Mangelnde Sicherheitsprüfungen vor Veröffentlichung: Weder Google Play noch der Entwickler erkannte die Fehlkonfiguration rechtzeitig. Viele Cloud‑Provider setzen standardmässig restriktivere Berechtigungen – aber der Zugriffsschutz muss bewusst konfiguriert werden.
  • „Hardcoding“ und unsichere Praktiken: In der Branche ist seit längerem bekannt, dass viele Apps API‑Schlüssel und Zugangsdaten direkt im Code hinterlegen und keine automatisierten Prüfungen nutzen. Ohne konsequente Sicherheitstests entstehen so offene Türen.

Cloud‑basierte Dienste und Backend‑Infrastrukturen bieten viele Vorteile – verlangen aber Sorgfalt und Fachwissen im Bereich Sicherheit. Beides fehlte hier offensichtlich.

Potenzielle Folgen für Nutzer & Entwickler

Für betroffene Nutzer liegt das grösste Risiko in der Verletzung der Privatsphäre. Fotos und Videos können persönliche Informationen enthalten – Aufenthaltsorte, Zeitpunkte, sensible Situationen.

Auch für den Entwickler bleibt die Sache nicht folgenlos. Die Apps sind zwar aus dem Play Store verschwunden, aber ein Datenleck dieser Tragweite zieht rechtliche und regulatorische Konsequenzen nach sich:

  • In vielen Ländern gelten strenge Datenschutzstandards: Personenbezogene Daten dürfen nur mit geeigneten technischen und organisatorischen Schutzmassnahmen verarbeitet werden. Verstösse werden mit hohen Bussen belegt – abhängig von Art, Umfang und Sensibilität der betroffenen Daten.
  • Falls nachweislich Schäden, Identitätsdiebstahl oder Betrug entstanden sind, können betroffene Personen oder Konsumentenschutz-Organisationen zivilrechtliche Klagen oder Schadensersatzforderungen gegen den Entwickler erheben.

Öffentliche Klagen gibt es bislang keine – aber Datenschutzbehörden in verschiedenen Ländern dürften Untersuchungen einleiten.

Lehren aus dem Mega-Datenleck

Falsch eingestellte Cloud‑Speicher haben dazu geführt, dass Millionen von Bildern, Videos und hochsensiblen Identitätsdaten für jeden im Internet zugänglich waren. Die Apps sind inzwischen aus dem Google Play Store entfernt, die Zugriffe geschlossen – für betroffene Nutzer ist der Schaden damit aber nicht automatisch begrenzt. Daten, die einmal öffentlich zugänglich waren, können bereits kopiert, gespeichert oder weiterverbreitet worden sein.

Ob rechtliche Konsequenzen folgen, wird sich zeigen, sobald Datenschutzbehörden oder Gerichte die Fälle bewertet haben.

Datenschutz ist kein optionales Feature, sondern ein elementarer Bestandteil jedes digitalen Produkts – erst recht bei KI‑ und Cloud‑basierten Diensten.

Tags: AppDatensicherheit
Über die Autor:in

Miriam Schäfer

Social Media und redaktionelle Inhaltspflege rundum.dog seit April 2026. Schreibt für dataloft zu Datenschutz, Online-Recht, Social-Media-Trends und KI-Themen.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-03-20 Cyberangriff mit Ransomware legt grösstes Covid-19 Test-Labor lahm 2023-07-18 Swiss Hosting wirklich exportfrei? Die wichtige Frage für Cloud-Kunden der Schweiz 2020-06-15 Schadsoftware ohne Internetverbindung? Ramsay Malware macht es möglich

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG