Schwere Datenpanne bei Freedom Mobile, 1,5 Millionen Kunden betroffen

[English]Es gibt leider wieder eine schwere Datenpanne zu vermelden. Getroffen hat es die Kunden von Kanadas viertgrößtem Mobilfunkanbieter Freedom Mobile (ehemals Wind Mobile). Sicherheitsforscher entdeckten eine Datenbank, die ungeschützt und unverschlüsselt per Internet zugreifbar war. Die Datenbank enthielt bis zu 1,5 Millionen aktive Freedom Mobile-Nutzer mit ihren personenbezogenen Daten.


Anzeige

Entdeckt wurde das Ganze von einem Forscher-Team des Sicherheitsanbieters vpnMentor, die das Ganze in diesem Blog-Beitrag veröffentlicht haben. Die Hacktivisten Noam Rotem und Ran Locar stießen bei ihrer Suche im Internet kürzlich auf eine völlig ungeschützte und unverschlüsselte Datenbank, die per Internet erreichbar war. Der Fund hatte es in sich, enthielt die Datenbank doch um die 5 Millionen Einträge, die sich auf ca. 1,5 Millionen Kunden des Mobilfunkanbieter Freedom Mobile reduzieren ließen. Und diese Kundendaten sind recht brisant, da die betreffenden Personen durch die Datensätze auch mit Zahlungsinformationen wie Kreditkartendaten gläsern wurden. In der Datenbank fanden sich Felder mit folgenden Daten:

  • E-Mail-Adressen
  • Private und mobile Telefonnummern
  • Privatadressen
  • Geburtstage
  • Kundentyp
  • IP-Adresse, die mit der Zahlungsmethode verknüpft ist
  • Unverschlüsselte Kreditkartennummern und CVV-Prüfziffern

Die Sicherheitsforscher hatten auch Zugriff auf Kontonummern, Abonnements-Daten, Faktura-Zyklen und Aufzeichnungen des Kundenservices. Mit in der Datenbank waren auch Bonitätsbeurteilungen von Equifax und anderen Unternehmen zu den Kunden gespeichert. Dies umfasste auch die Gründe für die Annahme oder Ablehnung eines Vertrags. Hier ein Screenshot der betreffenden Datensätze.

 Freedom Mobile Database records
( Freedom Mobile Datenbank-Einträge, Quelle vpnmentor.com, Zum Vergrößern klicken)

Kritisch an diesem Sachverhalt ist vor allem, dass die Kreditkartendaten unverschlüsselt und mit Prüfcode abgelegt waren. Jemand, der diese Daten erbeutet, kann mit diesen Daten auf Kosten der Karteninhaber einkaufen.

Freedom Mobile Twitter profile header

Ironisch an der Geschichte ist der Kopf des Twitter-Profil des Unternehmens, der oben abgebildet ist. Dort lobt Freedom Mobile sich für sein hohes Niveau in Bezug auf Datenschutz.

Zähe Reaktion des Unternehmens

Nachdem die Leute von vpnmentor die Datenpanne entdeckt hatten, wurde Freedom Mobile sofort per E-Mail in Kenntnis gesetzt. Eine sofortige Antwort oder irgend eine Reaktion blieb aber aus. Hier die Historie des Ablaufs:


Anzeige

  • 17. April: Entdeckung der ungeschützten Datenbank von Freedom Mobile
  • 18. April: E-Mail an Freedom Mobile, um das Unternehmen über die schwere Datenschutzverletzungen zu informieren. Es gibt keine Antwort.
  • 23. April: Erneuter Versuch, Freedom Mobile erneut zu kontaktieren – auch unter Beteiligung weiterer Sicherheitsforscher.
  • 24. April: Freedom Mobile reagiert endlich auf Nachrichten und sichert seine Datenbank ab.

Jetzt können die Betroffenen nur noch hoffen, dass niemandem sonst die offene Datenbank aufgefallen ist. Denn mit den Daten lässt sich ja wunderbar Identitätsdiebstahl begehen – und die Kreditkartendaten können für Bestellungen genutzt werden. Der Vorfall zeigt, wie sorglos Unternehmen noch immer mit Kundendaten umgehen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Schwere Datenpanne bei Freedom Mobile, 1,5 Millionen Kunden betroffen

  1. RUTZ-AhA sagt:

    Jedes Unternehmen und jeder Dienstleister, der so sträflich nachlässig mit Kundendaten umgeht, sollte eine Strafe bekommen, die wirklich weh tut. Anders ist diesen immer wieder auftretenden Problemen anscheinend nicht beizukommen.
    Für Sorglosigkeit dieser Art ist keine Ausrede gerechtfertigt. Dass Sicherheit Geld kostet dürfte Jedem klar sein, aber die Unternehmen nagen ja nicht am Hungertuch.

Schreibe einen Kommentar zu RUTZ-AhA Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.