Datenlecks bei den Vergleichsportalen Check24 und Verivox
Bei den Vergleichsportalen Check24 und Verivox gab es Datenlecks im Bereich Kreditvermittlung: Personenbezogene Kundendaten wie Namen und Adressen sowie Finanzdaten waren einsehbar. Unbefugte mussten nur eine Internetadresse (URL) abändern, um an die Daten zu gelangen. Inzwischen sind die Sicherheitslücken geschlossen.
Wie die Rechercheplattform Correctiv am Dienstag berichtete, war ein IT-Experte zunächst im Juli bei Check24 auf die Schwachstelle gestoßen. Anschließend habe er die Konkurrenzseite Verivox ebenfalls überprüft. Nachdem er auch dort fündig geworden war, informierte er den Chaos Computer Club (CCC), der die Sicherheitslücken bei den Unternehmen meldete.
Sowohl bei Check24 als auch bei Verivox können Nutzerinnen und Nutzer beispielsweise Strom- und Handy-Tarife, Versicherungen sowie Kredite vergleichen. Von den Sicherheitslücken betroffen war demnach die Kreditvermittlung der Anbieter. Kundinnen und Kunden können personalisierte Kreditangebote erhalten. Dafür müssen sie persönliche Daten angeben.
Nummer in Internetadresse
Auf diese Daten konnten Unbefugte zugreifen, indem sie bei beiden Portalen in den personalisierten Darlehensangeboten eine Nummer in der Internetadresse änderten. Ein Account bei den Portalen war dafür nicht notwendig. Die abgewandelte Internetadresse führte dem Bericht zufolge dann zu Darlehensangeboten anderer Kunden, die als PDF heruntergeladen werden konnten.
Bei Check24 musste zwar ein Passwort eingegeben werden, um an die Angebote zu gelangen, dieses sei aber für alle Kunden identisch gewesen – und damit kein wirksamer Schutz.
Bei dem Anbieter soll sogar noch eine weitere Sicherheitslücke bestanden haben: Darüber hätten Unbefugte die Links zu den PDF-Dateien mit den Kreditangeboten in dem Moment erhalten können, als die Angebote angefragt wurden. Dafür war allerdings mehr IT-Wissen nötig – Angreifer hätten ein “einfaches Programm” schreiben müssen.
Die Angebote sollen neben Details zu den Darlehen auch detaillierte Informationen zu den Kunden enthalten haben: darunter Namen, Geschlecht, Telefonnummer, E-Mail-Adresse, Geburtsdatum und Staatsangehörigkeit. Auch Angaben zum Arbeitsverhältnis, der Beschäftigungsdauer beim Arbeitgeber oder seit wann die Betroffenen am aktuellen Wohnsitz leben und ob ein Mietverhältnis besteht, wurden angezeigt. Zudem waren Angaben zum Netto-Haushaltseinkommen, zu bereits abgeschlossenen Krediten und dem Bankkonto inklusive IBAN der Kunden einsehbar. Und auch die Anzahl der Kinder und Fahrzeuge im Haushalt war laut Correctiv in den Angeboten festgehalten.
Anbieter beheben Sicherheitsprobleme
Ende Juli wurde Check24 über das Datenleck informiert; Verivox im August. Beide Anbieter haben die Schwachstellen gegenüber Correctiv bestätigt. Sie wurden demnach geschlossen. Ein unbefugter Zugriff sei nicht festgestellt worden.
Unklar bleibt, wie lange die Daten zugänglich waren und wie viele Personen betroffen sind. Als die Sicherheitslücke entdeckt wurde, sollen bei Verivox 75.0000 Datensätze abrufbar gewesen sein. Die ältesten Datensätze seien vier Monate alt gewesen.
Der anonyme Entdecker der Sicherheitsprobleme sagte gegenüber Correctiv: “Was diese beiden Sicherheitslücken für mich besonders gravierend macht, ist der stümperhafte Umgang mit Daten von Kundinnen und Kunden.” Um die Sicherheitslücken auszunutzen, sei “keinerlei tieferes technisches Verständnis” nötig gewesen. Außerdem konstatierte der Experte: “Eigentlich ist der Begriff ‘Sicherheitslücke’ hier fast unangebracht, da in beiden Fällen die Daten einfach offen über das Internet abrufbar waren.”
CCC-Sprecher Matthias Marx kritisierte: “Jeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen, und wie viel Geld sie im Moment für Kredite ausgeben.” Und weiter: “Es ist schon bemerkenswert, dass zwei so große Portale, die nichts weiter machen als Daten zu sammeln und an Banken weiterzugeben, solche Anfängerfehler machen, die eigentlich gar nicht passieren dürfen.”
Auch Johannes Caspar, langjähriger Datenschutzbeauftragter von Hamburg und inzwischen Juraprofessor an der Universität Hamburg warnte: “Diese Daten sind hoch missbrauchsanfällig, wenn sie in die falschen Hände geraten.”
Datenschützer prüfen
Laut dem Bericht haben sowohl der CCC als auch die Unternehmen die jeweils zuständigen Datenschutzbehörden über die Vorfälle informiert.
Der Landesbeauftragte für Datenschutz in Baden-Württemberg ist für Verivox zuständig und bestätigte gegenüber Correctiv, dass der Fall aktuell geprüft wird.
Für Check24 ist die bayerische Datenschutzbehörde zuständig – auch sie bestätigte ein laufendes Verfahren.
Verivox erklärte gegenüber Correctiv, seine Kunden nicht informiert zu haben. Das Unternehmen gehe davon aus, dass ihnen kein Schaden entstanden sei. Check24 beantwortete eine entsprechende Frage der Journalisten nicht.
Bei Verivox hatte es erst im vergangenen Jahr ein Datenleck gegeben. Angreifer sollen dabei personenbezogene Kundendaten erbeutet haben: darunter Name, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer und Vertragsdaten. In einigen Fällen waren auch Bankverbindungen betroffen. (js)