“Supergau” bei Verivox und Check24 – Sicherheitslücken aufgedeckt

Sicherheitslücken bei Verivox und Check24 aufgedeckt.
Kategorien:

Der Bayerische Landesbeauftragte für den Datenschutz und der Landesbeauftragte für den Datenschutz Baden-Württemberg stehen vor umfangreichen Prüfungen: Ein Sicherheitsexperte hat bei den Vergleichsportalen Verivox und Check24 kritische Sicherheitslücken entdeckt. Zehntausende Kundinnen und Kunden sollen von den Datenlecks betroffen sein. Der Chaos Computer Club spricht gar von einem „Supergau“.

Sicherheitslücken bei Check24 und Verivox

Entdeckt wurden die Datenlecks von einem IT-Sicherheitsexperten, der anonym bleiben möchte. Im Gespräch mit dem Investigativ-Portal Correctiv erklärte der IT-Experte, dass er zunächst über die Sicherheitslücke bei Check24 regelrecht gestolpert sei und dann ein ähnliches Leck auch bei Verivox entdeckt habe. „Für das Ausnutzen der Sicherheitslücken war kein tieferes technisches Verständnis nötig”, so der Hinweisgeber.

Check24 und Verivox sind Vergleichsportale, auf denen Verbraucher zum Beispiel Strom- und Gastarife oder Kreditkonditionen vergleichen können. Wird der Verbraucher bei seiner Suche fündig, können Check24 oder Verivox auf Wunsch den Vertrag vermitteln. Dabei erheben die beiden Unternehmen in erheblichem Umfang personenbezogene Daten, die für den jeweiligen Vertragsabschluss erforderlich sind. Die Daten werden auch an das vermittelnde Unternehmen weitergegeben. Für den Vertragsabschluss erhalten Check24 und Verivox eine Provision.

Datenpanne bei Kreditvermittlung

Wie Correctiv berichtet, trat die Sicherheitslücke bei beiden Portalen im Bereich Kreditvergleich auf. Interessenten, die als Gast angemeldet waren, erhielten ihr persönliches Angebot über eine URL. Wer die Zahl am Ende der URL nach oben oder unten änderte, konnte das persönliche Angebot für eine dritte Person einsehen. Bei Verivox war dies ohne Passwortabfrage möglich, bei Check24 mit. Allerdings wurde dort für alle Kunden das gleiche Passwort verwendet.

Auf diese einfache Weise konnte der IT-Experte fremde Datensätze einsehen. Darunter befanden sich sensible Informationen wie Adresse, Monatsgehalt, Anzahl der Kinder oder Arbeitgeber. Der Hinweisgeber informierte über den Chaos Computer Club die beiden Unternehmen: am 29. Juli Check24, am 20. August Verivox.

„Es ist schon bemerkenswert, dass zwei so große Portale, die nichts weiter machen, als Daten zu sammeln und an Banken weiterzugeben, solche Anfängerfehler machen, die eigentlich nicht passieren dürfen”, erklärt Matthias Marx vom Chaos Computer Club im Gespräch mit Correctiv.

Lese-Tipp: Irische Datenschutzkommission leitet KI-Verfahren gegen Google ein

Untersuchungen der Datenschutzbehörden bereits angelaufen

Check24 und Verivox bestätigten die Sicherheitslücken auf Anfrage von Correctiv. Nach Angaben beider Unternehmen wurden die Sicherheitslücken geschlossen und die verantwortlichen Entwickler nachgeschult. Inwieweit es zuvor Mängel bei den technischen und organisatorischen Maßnahmen gegeben hat, werden die Untersuchungen der zuständigen Datenschutzbehörden zeigen.

Check24 hat seinen Sitz in München, für das Unternehmen ist der Bayerische Landesbeauftragte für den Datenschutz zuständig. Das Unternehmen Verivox hat seinen Sitz in Heidelberg, hier prüft der Landesbeauftragte für den Datenschutz Baden-Württemberg. Die Unternehmen müssen nun vor allem nachweisen, ob durch die Sicherheitslücken Daten abgegriffen wurden. Wie lange die Sicherheitslücke bestand und wie viele Personen betroffen sein könnten, dazu konnten die beiden Unternehmen noch keine Angaben machen. Auch dies wird nun Teil der Ermittlungen der Datenschutzbehörden sein.

Quelle: Kreditvermittlung bei Check24 und Verivox: Kritische Datenlecks entdeckt – Artikel Correctiv

Tags:
Share this post :
de_DEGerman