Il Commissario dello Stato bavarese per il Protezione dei dati e il Commissario di Stato per la protezione dei dati del Baden-Württemberg sono alle prese con controlli approfonditi: Un esperto di sicurezza ha scoperto vulnerabilità critiche nei portali di comparazione Verivox e Check24. Decine di migliaia di clienti sarebbero stati colpiti dalla fuga di dati. Il Chaos Computer Club parla addirittura di un "super disastro".
Lacune nella sicurezza di Check24 e Verivox
Le fughe di dati sono state scoperte da un esperto di sicurezza informatica che desidera rimanere anonimo. In un'intervista rilasciata al portale investigativo Correctiv, l'esperto informatico ha spiegato di essersi imbattuto per la prima volta nella vulnerabilità di sicurezza di Check24 e di aver poi scoperto una falla simile in Verivox. "Non è stata necessaria alcuna conoscenza tecnica approfondita per sfruttare le falle di sicurezza", ha dichiarato l'informatore.
Check24 e Verivox sono portali di comparazione in cui i consumatori possono confrontare, ad esempio, le tariffe di elettricità e gas o le condizioni di credito. Se il consumatore trova ciò che cerca, Check24 o Verivox possono organizzare il contratto, se lo desidera. Così facendo, le due società raccolgono una quantità considerevole di Dati personalinecessari per la conclusione del relativo contratto. I dati vengono trasmessi anche alla società intermediaria. Check24 e Verivox ricevono una commissione per la conclusione del contratto.
Violazione dei dati nella mediazione creditizia
Come riporta Correctiv, la vulnerabilità di sicurezza si è verificata nella sezione di confronto crediti di entrambi i portali. Gli interessati che avevano effettuato il login come ospiti ricevevano l'offerta personalizzata tramite un URL. Chiunque avesse modificato il numero alla fine dell'URL verso l'alto o verso il basso avrebbe potuto ricevere l'offerta personalizzata per una terzo persona. In Verivox questo era possibile senza richiedere la password, in Check24 sì. Tuttavia, la stessa password è stata utilizzata per tutti i clienti.
In questo semplice modo, l'esperto informatico è riuscito a visualizzare i dati di altre persone. Tra questi vi erano informazioni sensibili come l'indirizzo, lo stipendio mensile, il numero di figli e il datore di lavoro. L'informatore ha informato le due società tramite il Chaos Computer Club: Check24 il 29 luglio e Verivox il 20 agosto.
"È singolare che due portali così grandi, che non fanno altro che raccogliere dati e trasmetterli alle banche, commettano errori così grossolani che in realtà non dovrebbero accadere", spiega Matthias Marx del Chaos Computer Club in un'intervista a Correctiv.
Suggerimento di lettura: La Commissione irlandese per la protezione dei dati avvia un procedimento di AI contro Google
Sono già in corso indagini da parte delle autorità di protezione dei dati.
Check24 e Verivox hanno confermato le lacune di sicurezza su richiesta di Correctiv. Secondo entrambe le società, le lacune di sicurezza sono state colmate e gli sviluppatori responsabili hanno ricevuto una formazione supplementare. L'entità delle carenze tecniche e organizzative riscontrate in precedenza sarà rivelata dalle indagini delle autorità competenti per la protezione dei dati.
Check24 ha sede a Monaco di Baviera e il Commissario di Stato bavarese per la protezione dei dati è responsabile della società. Verivox ha sede a Heidelberg ed è oggetto di indagine da parte del Commissario di Stato per la protezione dei dati del Baden-Württemberg. Soprattutto, le aziende devono ora dimostrare se i dati sono stati accessibili attraverso le falle di sicurezza. Le due aziende non sono ancora state in grado di fornire informazioni sulla durata della falla di sicurezza e sul numero di persone eventualmente coinvolte. Anche questo aspetto farà parte delle indagini delle autorità di protezione dei dati.
German 
English 
Italian 
French