Die unbefugten Datenveröffentlichungen bei Check24 und Verivox enthüllen Wohnadressen und Einkommensdetails.
In einer jüngsten Enthüllung haben Hacker festgestellt, dass sensible Benutzerdaten während Kreditvermittlungsoperationen von Check24 und Verivox öffentlich zugänglich waren. Dieser Datendiebstahl diente als offene Einladung für kriminelle Elemente. Ein Insider innerhalb des Chaos Computer Clubs (CCC) hat auf die offenkundige Missachtung von Verbraucherdaten hingewiesen.
Laut Correctiv hat das CCC die Existenz erheblicher Datenlecks von den Kreditvermittlungsplattformen von Check24 und Verivox offengelegt. Über einen gewissen Zeitraum konnten Details von Kreditverträgen, einschließlich Einkommensdetails und Bankkontonummern, von beiden Vergleichswebsites leicht heruntergeladen werden. "Jeder mit einer einfachen Internetsuche konnte herausfinden, wo die Benutzer wohnen, ihre Familiengröße, Arbeitsplätze, Einkommensniveaus, Kreditrückzahlungspläne und Bankkontoinformationen", wie der CCC-Sprecher feststellte.
Verivox reagierte schnell auf den Vorfall und behauptete, dass es nach der Benachrichtigung durch das CCC sofort gestoppt wurde und es keine Hinweise auf unautorisierten Datenzugriff gab, abgesehen vom Whistleblower. Sie behaupteten, dass durch diesen Vorfall kein Schaden für ihre Kunden entstanden sei. Der Datenschutzbeauftragte des Bundeslandes Baden-Württemberg untersucht derzeit die Angelegenheit.
Check24 ignorierte das Problem zunächst, korrigierte es jedoch später und leugnete jeden unautorisierten Zugriff auf die Dateien und schulte sein Personal erneut.
Insider sagt: "Nachlässige Handhabung" von Kundendaten
Laut dem CCC hat ein IT-Experte im Juli Schwachstellen auf Check24 entdeckt, gefolgt von ähnlichen Sicherheitslücken auf der Konkurrenzseite Verivox. Diese sollten eigentlich bei routinemäßigen Überprüfungen entdeckt werden. Der CCC-Sprecher bezeichnete dies als "leichtsinnige Handhabung" von Verbraucherdaten und betonte, dass 'Sicherheitslücke' eine Untertreibung ist, da die Daten über das Internet ohne Schutz zugänglich waren.
Auf Check24 wurde eine zweite Sicherheitslücke entdeckt, die technisches Fachwissen erforderte. Laut Correctiv wurden Kundendaten zusammen mit Download-Links zu PDF-Dateien mit Kreditangeboten öffentlich angezeigt. "Diese Dateien enthielten Details wie den Namen des Benutzers, Geschlecht, Kontaktinformationen, Geburtsdatum, Nationalität, Beschäftigungsstatus, Dauer der Beschäftigung beim aktuellen Arbeitgeber, Wohnortdauer, Haushalteeinkommen, Kreditverlauf, Mietstatus, Familiengröße und Anzahl der Fahrzeuge. zusätzliche Kreditangebotsdetails enthielten den Kreditbetrag, Rückzahlungspläne und Bankkontoinformationen einschließlich IBAN", wie das CCC mitteilte.
Beide Unternehmen wurden über das Problem durch das CCC informiert. Die genaue Dauer des Lecks und die Anzahl der betroffenen Benutzer bleiben unbekannt. Laut Correctiv könnte Verivox potenziell Datensätze von 75.000 Personen freigegeben haben. Experten haben jedoch keine Hinweise darauf gefunden, dass die Daten der betroffenen Benutzer verbreitet, gehandelt oder für kriminelle Zwecke missbraucht wurden.
Der Insider des CCC betonte das Problem des "Hacking-Potentials" aufgrund der nachlässigen Handhabung von Kundendaten auf den Plattformen von Check24 und Verivox. Der Grund war die unzeitgemäße Identifizierung und Behebung der Schwachstellen, die die Daten für potenzielle Hacker leicht zugänglich machte.
