Bei Corplife, einem Dienstleister für "Mitarbeiterbindung" gab es ein Datenleck in Form von öffentlich abrufbaren Dateien. Der Entdecker wandte sich an den Chaos Computer Club (CCC), der dann den Betreiber informierte. Die Dateien wurden im Februar 2025 offline genommen. Ob es beim Vorfall Betroffene gab und ob diese über diesen Vorfall informiert wurden, ist aktuell unklar.
Wer ist Corplife?
Die Corplife GmbH ist ein Unternehmen in Österreich, welches über die Plattform corplife Unternehmen jeder Größe dabei unterstützen will, die Beziehung mit ihren Mitarbeitern und Mitarbeiterinnen zu stärken. Die Belegschaft soll Vorteilspakete der Unternehmen nutzen können.
Das können exklusive Mitarbeiterangebote in den Bereichen Shopping, Sport, Reisen, Gastronomie und mehr, aber auch steuerfreie Zuschüsse fürs Mittagessen sein. Dies setzt corplife mithilfe von selbst entwickelten Software-Lösungen (corplife Benefits & corplife Lunch) um. Das Versprechen an Personalverantwortliche ist die Steigerung der Zufriedenheit, Loyalität und Performance ihrer Mitarbeiter, sowie eine erhöhte Mitarbeiterbindung.
Das Unternehmen sieht sich selbst als Gamechanger. Österreichweit haben bereits mehr als 1.300 Unternehmen mit ihren 1.2 Millionen Arbeitnehmern Zugriff auf die corplife Produkte. Zu den Kunden auf HR-Seite zählen u.a. Erste Bank, Siemens, Microsoft, IBM, A1, Uniqa, uvm. Im Portfolio der Werbepartner finden sich Marken wie dyson, Sky, Rituals, Zalando, booking.com, Peek & Cloppenburg, uvm. heißt es auf der Firmenseite. Bei den Anbietern handelt es sich sowohl um lokale Shops wie Restaurants, Fitnessstudios, etc. als auch um Online-Shops.
Schwachstelle durch CCC aufgedeckt
Von den corplife-Software-Entwicklern wurden unter der URL auklet.corplife.at wohl ungewollt diverse Dateien zum Download bereitgestellt. Offen zugänglich waren u.a.
- Quellcode und Konfigurationsdateien,
- 7800 pkpass-Dateien,
- CSV-Dateien mit Daten über 145.000 Accounts (Name, E-Mail-Adresse und Unternehmenszugehörigkeit) sowie
- ein Datenbank-Backup (~7 GB, im Ordner „live-backup") mit Gutscheindcodes und Daten über 165.000 Accounts (Name, Adresse, E-Mail-Adresse und gehashtes Passwort)
wie der Chaos Computer Club (CCC) im Beitrag Corplife: „Smarte" Mitarbeiterbindung offen legt. So etwas kann passieren, und der CCC hat wohl nach einem Hinweis des Entdeckers am 16. Februar 2025 sowohl das Unternehmen als auch die österreichische Datenschutzaufsicht informiert.
heise hat den Vorfall in diesem Beitrag aufgegriffen und weist darauf hin, dass Hunderttausende Login-Daten bei diesem Vorfall potentiell öffentlich zugreifbar waren. Laut heise hatte der Entdecker des Datenlecks die corplife über das Problem informiert, musste aber den Chaos Computer Club (CCC) als Mittler einschalten, damit die Dateien entfernt wurden.
Laut heise ist unklar, ob die betroffenen Kunden über dieses Datenleck informiert wurden. Von der corplife heißt es, dass es sich um Testdaten gehandelt habe, die in der Entwicklungsumgebung eingesetzt wurden, aber nicht den Life-Daten der Kunden entsprächen. Diese sei auch gegenüber der Datenschutzaufsicht so kommuniziert worden.
Ich gehe davon aus, dass heise vom CCC informiert wurde, denn im Artikel des Verlags finden sich Hinweise auf weitere Datenlecks anderer Plattformen, die vom CCC dokumentiert wurden.
MVP: 2013 – 2016
Bis jetzt (Stand 2.6.2025) habe ich keine Information von Corplife bekommen. Weder ob ich betroffen bin noch ob nicht.