Datenleck beim Autovermieter Buchbinder

Gibt heute noch ein zweites Datenleck zu vermelden. Beim Autovermieter Buchbinder ist es zu einem Datenleck gekommen, bei dem persönliche Daten von drei Millionen Kunden auf einem offenen Server lagen.


Anzeige

Buchbinder ist einer der größten deutschen Autovermieter – man sieht deren Kleinlaster häufig, wenn Leute umziehen. Und bei diesem Unternehmen gab es das wohl eines der größten Datenlecks in der Geschichte der Bundesrepublik: Persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder standen wochenlang ungeschützt im Netz, darunter Adressen und Telefonnummern von Prominenten und Politikern. Zugänglich waren außerdem Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe.

Hinweis eines Sicherheitsforschers heise und Zeit

Den Hinweis auf den offenen Server erhielten c’t und DIE ZEIT von dem IT-Sicherheits-Experten Matthias Nehls. Dessen Firma „Deutsche Gesellschaft für Cybersicherheit“ war bei Routine-Scans auf den offenen SMB-Port gestoßen. Nehls wandte sich zunächst zwei Mal per Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort. Daraufhin informierte der IT-Experte sowohl den zuständigen Landesdatenschutz-beauftragen in Bayern als auch c’t und DIE ZEIT.

10 TByte Daten, 5 Millionen Datensätze

Die zehn Terabyte an Daten, die über den offenen Server erreichbar waren, enthielten über fünf Millionen Dateien. Darunter Dateien mit umfangreicher Firmenkorrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Autos. In den neun Millionen Mietverträgen des Datensatzes fanden sich neben den Namen der Mieter auch die der Fahrer, Adressen, Geburtsdaten, Führerscheinnummern und -ausstellungsdaten.

Viele Kunden haben zudem Mobilfunknummern und E-Mail-Adressen angegeben. Kreditkartennummern fanden sich nicht in der Datenbank, wohl aber Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen.

Zudem konnte man dem Augenschein nach auf die komplette MSSQL-Firmendatenbank ohne Passwortabfrage zugreifen.

c’t und DIE ZEIT informierten Buchbinder am 20. Januar 2019 über das Datenleck: „Sofort nach Kenntnisnahme des Sachverhalts haben wir unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst“, schrieb die zur Buchbinder-Gruppe gehörende Terstappen Autovermietung GmbH.

Aus juristischer Sicht ist ein derart offener Server ein geradezu katastrophaler Verstoß gegen die Vorgaben der DSGVO, so die c’t in ihrer Presseinformation. Sollten die zuständige Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein sehr hohes Bußgeld fällig.


Anzeige

Heise hat diesen c’t-Artikel zum Sachverhalt und vielen weiteren Informationen bereitgestellt. Wer wissen will, ob seine Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann dies bei Buchbinder erfragen. c’t stellt dafür eine für private Zwecke kostenlos verwendbare Vorlage bereit.

Ähnliche Artikel:
Datenleck bei Microsoft: 250 Mio. Call-Center-Datensätze in Cloud öffentlich zugänglich


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Datenleck beim Autovermieter Buchbinder


  1. Anzeige
  2. Dat Bundesferkel sagt:

    Was soll man dazu noch sagen. Man kann nur noch weinen. Das ist die Folge, wenn man sich Netzwerker sparen will oder externe “Consultants” beauftragt.

    “Der Sohn meines Nachbarn hat einen Onkel, dessen Neffe ist total fit in IT. Für sowas brauchen wir keinen FISI (Netzwerk), Administrator (Netzwerk), weil… kostet Geld.”

    Plumps, da haben wir ‘n offenen SMB-Port. Das sind Fehler, die darf es seit 20 Jahren nicht mehr geben. Oder haben die ungepatchte T-Com Router im Einsatz, die ‘ne ganze Port-Range per default freigeben (Firmware-Fehler)?

    Ne, ernsthaft. Das Land der Dichter und Denker, so meint man ja immer wieder (dabei wären das ja eher die Griechen), man könnte lachen, wenn es nicht so verdammt traurig wäre.

    • wufuc_MaD sagt:

      disclosed coordinates halt

      fühl dich gegrüßt ferkel! es reizt mich im positivsten sinne, sünden wie mirai, tr0815, TELEKOM_FON wifi4all und magenta-tv self-signed root-ca’s nicht nur nicht, sondern “niemals” zu vergessen!

      einmal absichtlich schaden sollte reichen!.. telekom überbaut glasfaser (mit kupfer).. phh

      die neuste arte doku über br-exit könnte dir gefallen!(??)

      wenn dünkirchen nicht gewesen wäre.. naja..

      googles meena erinnert mich nach nur 1. monat daran dass dezember nicht komplett einbildung gewesen sein kann.

      also ich.. glaube aktuell schon nicht mehr an “lecks”. die haben die bombe gezündet!

      hört euch merkels worte vom 11. september (general-debatte) an.. die “sowas kann man sich gar nicht ausdenken.. aber wir müssen natürlich weiter an ‘unserer’ wettbewerbsfähigkeit arbeiten”-stelle!

  3. cherusker sagt:

    Na super. Bin im Dezember umgezogen und hatte ein Mietauto von denen.
    Mal schauen ob es irgendwo mal einen Dump gibt und ich mich dort wiederfinde. So eine Sch****….

  4. Anzeige

  5. Die/Das/Der Gender-Krankheit*erIn sagt:

    “…Dessen Firma „Deutsche Gesellschaft für Cybersicherheit“ war bei Routine-Scans auf den offenen SMB-Port gestoßen. Nehls wandte sich zunächst zwei Mal per Mail an Buchbinder, erhielt nach eigenen Angaben jedoch keine Antwort…”
    Das ist heftig und passt.

  6. Steffen sagt:

    Schadenersatz realistisch für die Betroffenen?
    https*://eugd.org/schadenersatz/buchbinder/

    • Günter Born sagt:

      Die URL funktioniert nicht! Mein persönlicher Eindruck: Da fischt ein Anwaltskollektiv Mandanten und hat mal schnell einen Platzhalter eingestellt.

      Schadensersatz dürfte es nur geben, wenn ein konkreter Schaden entstanden ist. Wenn die Daten irgendwann im Darknet auftauchen und damit nachweisbar ein Schaden zu Lasten eines Betroffenen entstehen, ist das einsichtig. Aber bei einem immateriellen Schaden käme imho § 253 (2) aus dem BGB zum Tragen, der auf ‘Immaterieller Schaden von Gesetz wegen’ abstellt. Da sehe ich aber noch nichts in dieser Hinsicht – kurze Recherchen liefern erste Urteile, die Schadensersatzansprüche wegen immaterieller Schäden bei Bagatellverstößen gegen die DSGVO verneinen – es müsste ein konkreter Schaden nachgewiesen werden. Ich bin aber kein Jurist und ein Gericht könnte ein abweichendes Urteil fällen. Dann geht der Fall imho aber bis zum BGH und möglicherweise zum EuGH.

      Ergänzung: Heise hat das Ganze hier aufbereitet und schreibt auch was zum Thema Schadensersatz (Stichwort ‘Legaltechs auf Beutezug’).

      • Steffen sagt:

        Komisch, bei mir geht sie.

        Ich habe das bei Mastercard Priceless gemacht und das zieht sich wohl. Die Bagatellen sind aus meiner Sicht nicht vergleichbar, da zB nur SPAM-E-Mail bekommen. Hier wurden Führerscheindaten veröffentlicht.

        Aber ich bin auch kein Jurist, nur Optimist.

      • Günter Born sagt:

        Hier tut es nun auch – ich lasse aber oben das * in der URL drin – kaputte Links werden mir nämlich von Plugins ausgeworfen, weil Google das abstraft.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.