Correctiv berichtet über das Bekanntwerden eines gravierenden Datenlecks bei den Vergleichsportale Check24 und Verivox. Der „Chaos Computer Club“ spricht von einem „Supergau“.
Das gemeinnützige Medienunternehmen Correctiv mit dem Schwerpunkt Investigativrecherche veröffentlichte am heutigen Dienstag Informationen zu einer Sicherheitslücke bei den Vergleichsportalen Check24 und Verivox. Nach Angaben von Correctiv sei ein IT-Experte, der anonym bleiben will, bereits im Juli auf eine triviale Schwachstelle bei Check24 gestoßen. Er sei über die Schwachstelle „gestolpert“, habe nicht aktiv nach ihr gesucht. Daraufhin habe er auch die Konkurrenzseite Verivox überprüft und eine sehr ähnliche Sicherheitslücke gefunden. Aufgrund der Art der Lücke habe diese nach seinen Angaben „bei jeder Überprüfung“ auffallen müssen: „Was diese beiden Sicherheitslücken für mich besonders gravierend macht, ist der stümperhafte Umgang mit Daten von Kundinnen und Kunden.“
Es sei nach Informationen von Correctiv möglich gewesen, durch das Ändern der Ziffern einer URL möglich gewesen, auf Darlehensangebote zugreifen zu können. Zu den persönlichen Angaben, die in den so abrufbaren Dokumenten einsehbar gewesen seien, gehörten nach Angaben von Correctiv etwa Name und Adresse, Geschlecht, Telefonnummer, Mail-Adresse, Geburtsdatum, Einkommen, Zahl der Kinder, Arbeitsverhältnis, Informationen zu bereits abgeschlossenen Krediten, der beantragte Kreditumfang, Raten sowie Kontoinformationen inklusive IBAN. „Die Ausnutzung der Sicherheitslücken hat keinerlei tieferes technisches Verständnis benötigt”, äußerte sich der anonyme IT-Experten. „Eigentlich ist der Begriff ,Sicherheitslücke‘ hier fast unangebracht, da in beiden Fällen die Daten einfach offen über das Internet abrufbar waren.“ Im Falle von Check24 wird über eine weitere gravierende Sicherheitslücke berichtet. Durch diese sei es möglich gewesen, alle neuen Darlehensangebote ohne eine Authentifizierung zu „abonnieren“. Dies sei durch das Einsetzen eines Sternchens als Platzhalter für eine personifizierte Kennung möglich gewesen.
Chaos Computer Club informierte die Unternehmen
Da das Aufspüren und vor allem auch das Melden von Sicherheitslücken in Deutschland juristisch riskant sein könne, ging der anonyme IT-Experte den Weg über den „Chaos Computer Club“. Der Verein stellt die angesehene Instanz für IT-Sicherheit in Deutschland dar (DIGITAL FERNSEHEN berichtet öfters über Meldungen des Vereins). Die Reaktionen der betroffenen Unternehmen fielen nach Angaben von Correctiv unterschiedlich aus. Check24 antwortete auf Anfragen von Correctiv nicht direkt, sondern schickte ein internes Protokoll. Darin sei vermerkt, dass man die gemeldete Lücke bestätigt habe und Fehler beheben wolle. Verivox teilte gegenüber Correctiv mit, dass man die Applikation „zeitweilig offline genommen“ habe und erst wieder online gestellt habe, „nachdem eine etwaige Kompromittierung von Daten ausgeschlossen werden konnte.“ Zur Anzahl der Betroffenen von dem Leck hätten sich beide Anbieter nicht geäußert. Möglicherweise seien die Fehler monatelang unentdeckt geblieben.
Für den Sprecher des „Chaos Computer Club“ (CCC) Matthias Marx handelt es sich bei dem Vorgang um einen „Supergau“: „Jeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen, und wie viel Geld sie im Moment für Kredite ausgeben”. „Es ist schon bemerkenswert, dass zwei so große Portale, die nichts weiter machen als Daten zu sammeln und an Banken weiterzugeben, solche Anfängerfehler machen, die eigentlich gar nicht passieren dürfen”, so der CCC-Sprecher. Correctiv zitiert auch Johannes Caspar, Jura-Professor an der Universität Hamburg: „Diese Daten sind hoch missbrauchsanfällig, wenn sie in die falschen Hände geraten.“ Es liege „in der Verantwortung der Webseiten-Betreiber, die Daten ihrer Kunden zu schützen und entsprechende Vorkehrungen zu treffen.”
Unterschiedliche Reaktionen von Check24 und Verivox
Check24 habe sich beim „Chaos Computer Club“ mit einer Spende von 400 Euro „bedanken“ wollen, so der Verein. Man habe das Geld nicht angenommen. Auf Anregung des CCC habe Check24 den Betrag an eine Seenotrettungsorganisation weitergeleitet. Im Falle Verivox seien Informationen zur schnellen Kontaktaufnahme völlig veraltet gewesen, meldet der CCC weiter. Eine für solche Fälle hinterlegte E-Mail-Adresse habe nicht funktioniert, der genannte Sicherheits-Fachmann sei bereits länger nicht mehr im Unternehmen tätig. Nach einem Kontaktversuch über eine Service-Mailadresse und einem Anruf bei Verivox habe der CCC-Sprecher nach eigenen Angaben eine Woche später eine „auffällig scharf formulierte Mail“ erhalten. Verivox äußerte sich gegenüber Correctiv mit Verweis auf die eigene Website:„Sämtliche hier unter anderem im Abschnitt ,Kontakt‘ aufgeführten Kontaktdaten der Verivox Finanzvergleich GmbH sind aktuell, alle Anfragen, die hierüber eingehen, werden zeitnah beantwortet.“
Ob die Sicherheitslücken ein juristisches Nachspiel haben werden, ist derzeit noch nicht klar. Ein Sprecher des Bayerischen Landesbeauftragten für Datenschutz habe, so Correctiv, deutlich gemacht, dass man Check24 in der Pflicht sehe, nachzuweisen, dass es zu keiner Ausnutzung der Lücke gekommen sei. Für Verivox ist der Landesbeauftragte für Datenschutz in Baden-Württemberg zuständig. Dieser prüfe den Fall.
Bildquelle:
- Vernetzung-Daten-Sicherheit: © Weissblick - Fotolia.com