Le divulgazioni non autorizzate di dati da Check24 e Verivox espongono indirizzi residenziali e dettagli sui guadagni.
In una recente rivelazione, i pirati informatici hanno scoperto che i dati degli utenti sensibili erano pubblicamente disponibili durante le operazioni di intermediazione del credito effettuate da Check24 e Verivox. Questa violazione dei dati ha rappresentato un invito aperto per gli elementi criminali. Un insider del Chaos Computer Club (CCC) ha evidenziato il modo disinvolto con cui sono stati gestiti i dati dei consumatori.
Come riportato da Correctiv, il CCC ha reso noto l'esistenza di consistenti fughe di dati dai piattaforme di intermediazione del credito di Check24 e Verivox. Per un certo periodo, i dettagli degli accordi di prestito, compresi i dettagli del reddito e i numeri di conto corrente, potevano essere facilmente scaricati da entrambi i siti di confronto. "Chiunque avesse fatto una semplice ricerca su internet avrebbe potuto scoprire dove risiedono gli utenti, la loro famiglia, i luoghi di lavoro, il livello di reddito, i piani di rimborso del prestito e le informazioni sul conto corrente", ha notato il portavoce del CCC.
Verivox ha reagito prontamente alla violazione, affermando che è stata immediatamente riparata dopo la segnalazione del CCC e non ci sono prove di accessi non autorizzati ai dati, a parte il whistleblower. Hanno sostenuto che non è stato arrecato alcun danno ai loro clienti a causa di questo incidente. Il responsabile della protezione dei dati dello stato del Baden-Württemberg sta attualmente indagando sulla questione.
Check24 ha inizialmente ignorato il problema, ma in seguito lo ha risolto, negando qualsiasi accesso non autorizzato ai file e rieducando il proprio personale.
L'insider dice: "Gestione negligente" dei dati dei clienti
Secondo il CCC, un esperto di informatica ha rilevato le vulnerabilità su Check24 a luglio, seguite da analoghe falle nella sicurezza sul sito concorrente Verivox. Questi errori avrebbero dovuto essere rilevati durante i controlli di routine. Il portavoce del CCC ha definito "gestione negligente" dei dati dei consumatori, sostenendo che 'buco di sicurezza' è un eufemismo poiché i dati erano accessibili via internet senza alcuna protezione.
È stata trovata una seconda falla nella sicurezza su Check24, che richiedeva conoscenze tecniche avanzate. Secondo Correctiv, i dati dei clienti insieme ai link per scaricare i file PDF contenenti le offerte di prestito erano visualizzati pubblicamente. "Questi file contenevano dettagli come il nome, il genere, i dettagli di contatto, la data di nascita, la nazionalità, lo stato di occupazione, la durata della residenza, il reddito familiare, la storia dei prestiti, lo stato di affitto, la dimensione della famiglia e il numero di veicoli. I dettagli aggiuntivi dell'offerta di prestito includevano l'importo del prestito, i piani di rimborso e le informazioni sul conto corrente, compreso l'IBAN", ha dichiarato il CCC.
Entrambe le società sono state informate del problema attraverso il CCC. La durata esatta della fuga di notizie e il numero di utenti interessati rimane ignoto. Secondo Correctiv, Verivox avrebbe potuto esporre i dati di 75.000 persone. Tuttavia, gli esperti non hanno trovato prove che i dati degli utenti interessati siano stati diffusi, scambiati o utilizzati a scopo criminale.
L'insider del CCC ha evidenziato il problema del "potenziale di hacking" a causa della gestione negligente dei dati dei clienti su Check24 e Verivox. Il fattore scatenante è stato il mancato identificazione e risoluzione tempestiva delle vulnerabilità, che ha reso i dati facilmente accessibili per i potenziali hacker.