Informierte Stellen: InstiKom GmbH und BayLDA (beide am 16.02.2025)

Bei der Registrierung in der Kita-App KIKOM konnten aufgrund fortlaufender IDs die Namen, E-Mail-Adressen und Telefonnummern von rund 500.000 Nutzer*innen eingesehen werden.

Nachtrag vom 07.04.2026: Am 04.04.2026 bat Instikom freundlich mit Frist zum 10.04.2026 um weitere Ergänzungen an diesem Artikel. Dem kommen wir gerne nach.

1. Schon elf Tage nach unserer Meldung, am 27.02.2025, teilte Instikom mit, dass die Schwachstelle „wirksam und nachhaltig behoben" worden sei.
2. Es konnte auf die Daten von rund 500.000 Nutzer*innen zugegriffen werden. Das bedeutet nicht, dass tatsächlich auf Daten von 500.000 Nutzer*innen zugegriffen wurde. Weder wir noch der Sicherheitsforscher, für den wir dieses Datenleck gemeldet haben, haben auf jeden einzelnen Datensatz zugegriffen. Die Prüfung und Verifikation erfolgte stichprobenartig:

Im Registrierungsformular unter https://instikom.de/kikom-app-registrierung/registrierung/fm-acc/<id>/ wurden jenseits der ID 522.459 keine Daten Dritter mehr angezeigt; bei den getesteten niedrigeren IDs hingegen schon.

Beispiele:

• https://instikom.de/kikom-app-registrierung/registrierung/fm-acc/2/
• https://instikom.de/kikom-app-registrierung/registrierung/fm-acc/22/
• https://instikom.de/kikom-app-registrierung/registrierung/fm-acc/222/
• https://instikom.de/kikom-app-registrierung/registrierung/fm-acc/2222/
• https://instikom.de/kikom-app-registrierung/registrierung/fm-acc/22222/
• https://instikom.de/kikom-app-registrierung/registrierung/fm-acc/222222/
• https://instikom.de/kikom-app-registrierung/registrierung/fm-acc/522459/