Check24 und Verivox: Sicherheitslücken zeigen Schlampereien beim Datenschutz
von André Westphal | 4 Kommentare
Bei der Kreditvermittlung von sowohl Check24 als auch Verivox sind sowohl stümperhafte als auch kritische Datenlecks entdeckt worden. Im Grunde konnte jeder Laie an vertrauliche Kundendaten gelangen. Das ist recht pikant, da gerade im Zuge der Kreditvermittlung ziemlich private Daten abfließen. Beiden Anbietern drohen ein erheblicher Imageschaden und rechtliche Konsequenzen.
Inzwischen sind die „Sicherheitslücken“ zwar geschlossen, doch noch vor wenigen Monaten konnte man mit minimalem Aufwand sensible Kundendaten wie Namen, Adresse, Einkommen, Anzahl der Kinder und Arbeitsverhältnis von anderen Menschen abrufen (via Correctiv). Betroffen sind potenziell Millionen von Menschen. Sowohl Check24 als auch Verivox haben die Schwachstellen bestätigt und erklärt, dass sie behoben seien. Konkretere Auskünfte zur Bandbreite der betroffenen Nutzer, der Dauer der Zugriffsmöglichkeit, oder weitere Details wollte man aber nicht preisgeben.
Sicherheitsexperten nehmen an, dass die „Sicherheitslücken“ über Monate bestanden haben. Obendrein zweifelt man daran, dass die beiden Plattformen die IT-Sicherheit ernst genommen haben. Deswegen schreibe ich „Sicherheitslücke“ bewusst in Anführungsstrichen, denn der Fehler ist so trivial wie regelrecht peinlich. Gleichzeitig zeigt der Fall auch, wie wenig durch Behörden die Datensicherheit bei großen Plattformen kontrolliert wird. Leidtragende sind am Ende womöglich die Kunden.
Ob und welche Daten tatsächlich abgeflossen sind, ist offen
Immerhin: Es gibt zurzeit keine Hinweise darauf, dass Kriminelle die Daten abgegriffen haben. Dennoch sind die Daten sehr anfällig für Missbrauch. Check24 und Verivox geben an, keine Hinweise darauf zu haben, dass jemand unbefugt zugegriffen habe. Auch verweisen sie darauf, dass man die Sicherheit von Kundendaten sehr ernst nehme. Allerdings werdet ihr vermutlich an jenen Aussagen zweifeln, sobald ihr erfahrt, wie die „Sicherheitslücke“ ausgefallen ist.
Es lief so: Wer personalisierte Kredite bei Check24 und Verivox vergleichen will, erhält dafür nach Übertragen seiner Daten später eine personalisierte URL. Dort könnt ihr dann personalisierte Darlehnsangebote herunterladen. Bei Check24 wurde dafür auch im Hintergrund ein Passwort durch den Browser geprüft. Aber: Dasselbe Passwort wurde für alle Kunden verwendet. Jetzt kommt der eigentliche Hammer: Am Ende der URL prangte jeweils eine Nummer, die dem jeweiligen Kunden zugeordnet gewesen ist. Diese konnte man natürlich in der Adresszeile mal aus Jux ändern. Nun, ahnt ihr es…
Wer einfach mal die Ziffern hoch- oder herunterzählte, landete bei den Darlehnsangeboten anderer Kunden. Auch ohne Anmeldung bei Check24 ließen sich dann alle Darlehnsangebote herunterladen und damit sensible Daten der potenziellen Kreditnehmer frei mustern. Bei Verivox funktionierte dies haargenau so – dort sogar ohne Passwortprüfung. Bei Check24 gab es zu dieser Panne im Übrigen noch eine zweite Lücke, die allerdings dann durchaus komplexer ausfiel und mit dem WebSocket zusammengehangen hat. Hier wäre es für Angreifer möglich gewesen, mit speziellen Programmen Verbindungen zum WebSocket herzustellen und neue Darlehnsangebote quasi ohne Authentifizierung zu abonnieren. Anstelle einer personifizierten Kennung gab man dazu am Ende einfach einen Platzhalter an. Es reichte hier ein Sternchen am Ende.
Check24 und Verivox: Datenschutzbehörden untersuchen den Fall
Auch über die WebSocket-Methode konnte man dann PDF-Dateien mit ausführlichen Darlehnsangeboten herunterladen. Enthalten waren sensible Informationen wie Namen, Geschlecht, Telefonnummer, Mail-Adresse, Geburtsdatum, Staatsangehörigkeit, Arbeitsverhältnis, Beschäftigungsdauer beim aktuellen Arbeitgeber, seit wann die Person am aktuellen Wohnsitz lebt, Haushalts-Nettoeinkommen, ob sie bereits Kredite abgeschlossen hat, ob sie zur Miete wohnt, die Anzahl ihrer Kinder und die Anzahl ihrer Fahrzeuge. Auch der beantragte Kreditumfang, die Höhe der Raten sowie Kontoinformationen inklusive IBAN wurden so ausgewiesen.
Der Chaos Computer Club (CCC) wurde über die Sicherheitslücken informiert und kommunizierte dann mit den Anbietern. Denn es kann für Privatpersonen rechtlich heikel sein, die Ausnutzung solcher Lücken zu melden – da sie sich dann ja eventuell schon private Daten unerlaubt gesichert haben. Umgekehrt sind nun juristische Folgen für Check24 und Verivox möglich. Die zuständigen Datenschutzbehörden, an welche die Fälle gemeldet werden mussten, untersuchen das Ganze inzwischen.
Es sind auch Schadensersatzansprüche durch Betroffene möglich, das muss aber im Einzelfall entschieden werden. Generell ist das aber alles schon ein starkes Stück und unterstreicht auf traurige Weise, dass auch große Unternehmen Datenschutz und Sicherheit von Kundendaten bedauerlicherweise nicht immer ausreichend gewährleisten.
![GIANAC USB C Kabel, [2 Stück 2m] 3.1A ladekabel USB C Nylon Schnellladung und Synchronisierungskabel USB C für...](https://m.media-amazon.com/images/I/51K+TQC7hNL._SL160_.jpg)
![INIU USB C Kabel, 100W [2m] PD3.0 Schnellladekabel USB C auf USB C, Nylon Geflochten Ladekabel USB-C Ladegerät...](https://m.media-amazon.com/images/I/41NM9Gz-TEL._SL160_.jpg)
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wahnsinn, da ist die Sammelklage ja bestimmt nicht mehr weit weg…
Das hoffe ich sogar
Interessant auch die sehr freihändige Vorgehensweise im Mietwagenbereich.
Letztens konnte einfach ein Mitreisender für mich bei Check24 anrufen und nach Nennung meines Namens und Geburtsdatums Änderungen an meiner Buchung beauftragen und noch besser, in meinem Namen hat Check dann auch noch beim Anbieter angerufen und mit dem Änderungen besprochen, ohne, dass der Anbieter sich irgendwie bei mir rückversichern musste.
Alles freihändig per Telefon. Von wegen Buttonlösung bei kostenpflichtigen Verträgen oder Vertragsänderungen oder Datenschutz.
War aus meiner Sicht natürlich bequem. Aber in der Haut der Portale will ich nicht stecken wenn das mal schief geht und ein Kunde ein Fass darüber aufmacht.
Kundendaten gehören nicht so stümperhaft „gesichert“ öffentlich zugänglich und gehören auch nicht ans Telefon. Das kann man doch heutzutage alles perfekt digital sichern. Und wenn Kunden damit nicht klarkommen können sie das halt nicht nutzen und müssen wie vor 30 Jahren zum klassischen Reisebüro oder zur klassischen Bankfiliale. Ist auch kein Verstoß gegen die Menschenwürde oder so.
Aber wenn man alles unpersönlich abwickelt dann bitte von Anfang bis Ende maximal professionell und geschützt und nicht aus falsch verstandener Kundenorientierung offen wie ein Scheunentor, damit es möglichst einfach ist.
Die meisten Kunden wollen das nämlich auch nicht so, wenn man ihnen mal wirklich die Sicherheitsrisiken erklärt.
Hallo André: „…, wie wenig die Datensicherheit bei großen Plattformen durch Behörden kontrolliert wird“ klingt aber schöner formuliert.
Zum Thema:
Tja. Da fühl ich mich bestätigt, diese „Vergleichsportale“ nie genutzt zu haben.
Nicht nur, weil ich mal gelesen hab, das Ergebnismengen zugunsten zahlungskräftiger Unternehmen dahingehend manipuliert worden sind, dass deren Artikel weiter oben auftauchen. Kann mich auch irren. Der unangenehme „Beigeschmack“ bleibt aber.
Unglaublich, dass die nicht alle Kunden informieren müssen, die im Zeitraum X einen Vergleich durchgeführt haben und deren Daten abgeflossen sein könnten.