Bei der Kreditvermittlung von sowohl Check24 als auch Verivox sind sowohl stümperhafte als auch kritische Datenlecks entdeckt worden. Im Grunde konnte jeder Laie an vertrauliche Kundendaten gelangen. Das ist recht pikant, da gerade im Zuge der Kreditvermittlung ziemlich private Daten abfließen. Beiden Anbietern drohen ein erheblicher Imageschaden und rechtliche Konsequenzen.
Inzwischen sind die „Sicherheitslücken“ zwar geschlossen, doch noch vor wenigen Monaten konnte man mit minimalem Aufwand sensible Kundendaten wie Namen, Adresse, Einkommen, Anzahl der Kinder und Arbeitsverhältnis von anderen Menschen abrufen (via Correctiv). Betroffen sind potenziell Millionen von Menschen. Sowohl Check24 als auch Verivox haben die Schwachstellen bestätigt und erklärt, dass sie behoben seien. Konkretere Auskünfte zur Bandbreite der betroffenen Nutzer, der Dauer der Zugriffsmöglichkeit, oder weitere Details wollte man aber nicht preisgeben.
Sicherheitsexperten nehmen an, dass die „Sicherheitslücken“ über Monate bestanden haben. Obendrein zweifelt man daran, dass die beiden Plattformen die IT-Sicherheit ernst genommen haben. Deswegen schreibe ich „Sicherheitslücke“ bewusst in Anführungsstrichen, denn der Fehler ist so trivial wie regelrecht peinlich. Gleichzeitig zeigt der Fall auch, wie wenig durch Behörden die Datensicherheit bei großen Plattformen kontrolliert wird. Leidtragende sind am Ende womöglich die Kunden.
Ob und welche Daten tatsächlich abgeflossen sind, ist offen
Immerhin: Es gibt zurzeit keine Hinweise darauf, dass Kriminelle die Daten abgegriffen haben. Dennoch sind die Daten sehr anfällig für Missbrauch. Check24 und Verivox geben an, keine Hinweise darauf zu haben, dass jemand unbefugt zugegriffen habe. Auch verweisen sie darauf, dass man die Sicherheit von Kundendaten sehr ernst nehme. Allerdings werdet ihr vermutlich an jenen Aussagen zweifeln, sobald ihr erfahrt, wie die „Sicherheitslücke“ ausgefallen ist.
Es lief so: Wer personalisierte Kredite bei Check24 und Verivox vergleichen will, erhält dafür nach Übertragen seiner Daten später eine personalisierte URL. Dort könnt ihr dann personalisierte Darlehnsangebote herunterladen. Bei Check24 wurde dafür auch im Hintergrund ein Passwort durch den Browser geprüft. Aber: Dasselbe Passwort wurde für alle Kunden verwendet. Jetzt kommt der eigentliche Hammer: Am Ende der URL prangte jeweils eine Nummer, die dem jeweiligen Kunden zugeordnet gewesen ist. Diese konnte man natürlich in der Adresszeile mal aus Jux ändern. Nun, ahnt ihr es…
Wer einfach mal die Ziffern hoch- oder herunterzählte, landete bei den Darlehnsangeboten anderer Kunden. Auch ohne Anmeldung bei Check24 ließen sich dann alle Darlehnsangebote herunterladen und damit sensible Daten der potenziellen Kreditnehmer frei mustern. Bei Verivox funktionierte dies haargenau so – dort sogar ohne Passwortprüfung. Bei Check24 gab es zu dieser Panne im Übrigen noch eine zweite Lücke, die allerdings dann durchaus komplexer ausfiel und mit dem WebSocket zusammengehangen hat. Hier wäre es für Angreifer möglich gewesen, mit speziellen Programmen Verbindungen zum WebSocket herzustellen und neue Darlehnsangebote quasi ohne Authentifizierung zu abonnieren. Anstelle einer personifizierten Kennung gab man dazu am Ende einfach einen Platzhalter an. Es reichte hier ein Sternchen am Ende.
Check24 und Verivox: Datenschutzbehörden untersuchen den Fall
Auch über die WebSocket-Methode konnte man dann PDF-Dateien mit ausführlichen Darlehnsangeboten herunterladen. Enthalten waren sensible Informationen wie Namen, Geschlecht, Telefonnummer, Mail-Adresse, Geburtsdatum, Staatsangehörigkeit, Arbeitsverhältnis, Beschäftigungsdauer beim aktuellen Arbeitgeber, seit wann die Person am aktuellen Wohnsitz lebt, Haushalts-Nettoeinkommen, ob sie bereits Kredite abgeschlossen hat, ob sie zur Miete wohnt, die Anzahl ihrer Kinder und die Anzahl ihrer Fahrzeuge. Auch der beantragte Kreditumfang, die Höhe der Raten sowie Kontoinformationen inklusive IBAN wurden so ausgewiesen.
Der Chaos Computer Club (CCC) wurde über die Sicherheitslücken informiert und kommunizierte dann mit den Anbietern. Denn es kann für Privatpersonen rechtlich heikel sein, die Ausnutzung solcher Lücken zu melden – da sie sich dann ja eventuell schon private Daten unerlaubt gesichert haben. Umgekehrt sind nun juristische Folgen für Check24 und Verivox möglich. Die zuständigen Datenschutzbehörden, an welche die Fälle gemeldet werden mussten, untersuchen das Ganze inzwischen.
Es sind auch Schadensersatzansprüche durch Betroffene möglich, das muss aber im Einzelfall entschieden werden. Generell ist das aber alles schon ein starkes Stück und unterstreicht auf traurige Weise, dass auch große Unternehmen Datenschutz und Sicherheit von Kundendaten bedauerlicherweise nicht immer ausreichend gewährleisten.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.