Deutsche Post: 200.000 Kundendaten ungeschützt abrufbar

Publiziert am 5. Juli 2017 von Günter Born

Bei der deutschen Post hat es ein größeres Datenleck gegeben. Die persönlichen Daten von 200.000 Kunden waren ohne weiteren Schutz direkt per Internet abrufbar.

Anzeige

Stell dir vor, Du ziehst um, und jeder, den das interessiert, kann sich deine Daten ansehen. Genau dieses Szenario hat die Deutsche Post ungewollt ermöglicht. Unter umziehen.de kann man nicht nur Nachsendeanträge kostenpflichtig buchen (klappt zwar oft nicht, aber egal), sondern auch seine Umzugsadresse mitteilen. Die letztgenannte Dienstleistung ist gratis und die Post informiert Dienstleister über die neue Adresse. Macht wohl Sinn, da der Kreis der Zugriffsberechtigten begrenzt bleibt. Aber wenn Daten ungeschützt abrufbar sind, wird das nicht jedem Recht sein.

Kopie einer SQL-Datenbank auf dem Webserver

Bei einem Update war wohl eine Kopie der MySQL-Kundendatenbank mit dem Namen dump.sql angefertigt worden, die ungeschützt im Netz (auf dem Webserver der Post) stand und sich unter https://www. umziehen.de / dump.sql herunterladen ließ. Entdeckt hat dies die Redaktion von Golem.de, die über den Fall hier berichtet. Die Post hat dies bestätigt:

"Im Rahmen eines Sicherheitsupdates unseres Umzugsportals umziehen.de ist eine Kopie der Datenbankeinträge erstellt worden, die im Anschluss des Updates entgegen unserer Sicherheitsstandards aufgrund menschlichen Versagens nicht gelöscht wurde und anschließend für Nutzer mit Expertenwissen zugänglich war."

Wie Hanno Böck bei Golem.de schreibt, scheint der Fehler häufiger aufzutreten. Laut seinen Angaben konnte er auf mehr als 2.000 Webseiten über die URL auf ungeschützte Datenbanken zugreifen.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Deutsche Post: 200.000 Kundendaten ungeschützt abrufbar

  1. freebeer sagt:
    5. Juli 2017 um 23:25 Uhr

    bestimmt Neuland…
    für Tante Post.

    Antworten
    • der_Puritaner sagt:
      6. Juli 2017 um 12:11 Uhr

      Wenn man dem Artikel von Golem glauben mag, ist wohl nicht nur die Deutsche Post davon betroffen, sondern diverse Shops und Anbieter von Dienstleistungen jeglicher Art.

      Ist mir im übrigen auch schon passiert das ich die Anleitung von MySQL all zu einfach übernommen habe, wodurch anschließend beim anlegen einer Datensicherung eine "dump.sql" Datei übriggeblieben ist. Scheint wohl anderen ebenso zu gehen, der Fehler scheint wohl auf schlecht geschultes Personal zurück zu führen zu sein, wie bei so vielen anderen Problemen auch in der IT.

      Ist halt nur scheiße wenn andere gezielt danach suchen, von einem Hack kann man da kaum sprechen wenn solche "dump.sql" Dateien mal eben so beim Besuch kopiert wird.

      Antworten
  2. Christian sagt:
    6. Juli 2017 um 12:43 Uhr

    …frei nach dem immer wieder gerne angebrachten Motto:

    "Bei UNS kann das nicht passieren!"
    und
    "Einen 100%-igen Schutz gibt es nicht!"

    So köstlich, das Ganze…

    Christian

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.