Virgin Media: 900.000 Kundendaten frei zugänglich
Die Daten von gut 900.000 Kunden des britischen Telefon- und Internetanbieters Virgin Media standen offen im Internet. Der Anbieter selbst spricht von einer Marketing-Datenbank, in der Kontaktdaten wie Namen, Adressen, E-Mail-Adressen und Telefonnummern standen. Zahlungsinformationen wie Kreditkartendaten oder Kontonummern habe die Datenbank hingegen nicht enthalten, schreibt Virgin Media in einer Stellungnahme.
Doch die Datenbank soll noch deutlich mehr verraten haben: Außer Namen, Geburtsdatum und Telefonnummern, sollen sich in der Datenbank auch die IMEI-Nummern von gestohlenen Mobiltelefonen sowie weitere Informationen zu Endgeräten der Nutzer befunden haben, berichtet die IT-Sicherheitsfirma Turgensec, die das Sicherheitsleck entdeckt hat.
Kundendaten mit Pornoseiten verknüpft
Darüber hinaus gab die Datenbank Aufschluss über das Surfverhalten der Kunden: Sie listete Anfragen, bestimmte Webseiten zu blockieren oder eine Blockade aufzuheben. Dazu zählten Glücksspiel-Angebote, Pornoseiten und Seiten mit Gewaltdarstellungen. Diese Anfragen waren jeweils eindeutig mit den Kontaktdaten der Kunden verknüpft. Davon sollen über 1100 Kunden betroffen sein, berichtet die Financial Times.
Hintergrund dieser Sperr- und Entsperranfragen ist, dass Internetprovider in Großbritannien seit dem Jahr 2013 den Internetverkehr ihrer Kunden filtern müssen. Dazu zählen auch Webseiten mit Pornografie und Glücksspiel, die keine ausreichende Methode zur Altersprüfung anbieten. Wer diese dennoch besuchen möchte, muss das bei seinem Provider beantragen.
Daten standen 10 Monate im Internet
Virgin Media hat eingestanden, dass die Kundendaten mindestens einmal von Dritten eingesehen wurden. Turgensec weist allerdings darauf hin, dass die Daten mindestens 10 Monate lang im Internet verfügbar waren. Zwar bleibt unklar, wie das Unternehmen die Datenbank entdeckt hat, es weist aber darauf hin, dass die Daten unverschlüsselt waren – mehr als ein Browser soll nicht nötig gewesen sein, um sie abzurufen. Mittlerweile ist das Leck geschlossen.
Turgensec empfiehlt Kunden von Virgin Media über eine DSGVO-Anfrage (Datenschutzgrundverordnung) Auskunft zu verlangen, ob sie von diesem Datenleck betroffen waren. Virgin Media will betroffene Kunden aber auch selbständig informieren.
Während Virgin Media den Vorfall auf einen Konfigurationsfehler schiebt, bemängelt Turgensec fehlende Sicherheitsvorkehrungen bei dem Unternehmen, um solche Probleme zu entdecken, bevor Kundendaten in die Hände Dritter gelangen.
Welche Folgen das Datenleck haben wird, ist noch unklar. Bei schweren Verstößen sieht die DSGVO eine Strafe von bis zu 4 Prozent des Vorjahresumsatzes eines Unternehmens vor. Großbritannien ist am 1. Januar 2020 zwar aus der EU ausgetreten, zumindest für die Übergangsphase bis zum 31. Dezember 2020 gilt die DSGVO für Großbritannien aber weiterhin. (js)