Datenleck bei Online-Anbieter windeln.de bestätigt

[English]Der deutsche Anbieter windeln.de hatte einen unsicheren Server betrieben, so dass die persönlichen Daten von 700.000 Kunden abrufbar waren. Nachdem ich hier im Blog darüber berichtet hatte und das Ganze weitere Kreise zog, hat der Anbieter eine Pressemitteilungen zum Vorfall herausgegeben.


Anzeige

Das im Jahr 2010 gegründete Startup windeln.de verkauft in seinem Online-Shop so allerlei Sachen für junge Eltern  und bietet wohl auch ein Windel-Abo. Der Anbieter hat sich, laut Eigenaussage, zu einem der führenden Onlinehändler für Baby- und Kinderprodukte in Europa entwickelt.

windeln.de
windeln.de

Das Unternehmen betreibt dazu ein erfolgreiches Cross-Border E-Commerce Geschäft mit Kunden in China. Das Produktspektrum reicht von Windeln und Babynahrung über Kindermöbel, Spielzeug und Kleidung bis hin zu Babyphones und Autositzen sowie Kosmetik- und Partnerschaftsprodukte für Eltern. Allerdings wurde windeln.de auch Opfer eines Datenschutzvorfalls.

Ein Sicherheitsteam von SafetyDetectives unter der Leitung von Anurag Sen entdeckte kürzlich einen anfälligen und ungesicherten Server mit mehr als 6 Terabyte Daten, der von der deutschen Firma windeln.de betrieben wird, und frei über das Internet erreichbar war. Konkret wurde der offene Server am 13. Juni 2020 entdeckt, man schätzt aber, dass der Server seit dem 11. Juni 2020 frei per Internet erreichbar war.

Der ElasticSearch-Server und seine Schwachstelle wurden bei einer routinemäßigen Überprüfung der IP-Adressen auf bestimmten Ports entdeckt. Das Sicherheitsteam stellte fest, dass der Server völlig ungesichert und ohne Passwort öffentlich zugänglich war. Das bedeutete, dass jeder, der im Besitz der IP-Adresse des Servers war, auf die gesamte Datenbank zugreifen konnte.

Die Sicherheitsforscher haben versucht, Windeln.de zu erreichen, aber niemand hat sich je bei den Forschern gemeldet. Diese haben dann das deutsche CERT kontaktiert, damit sie das Unternehmen über das Datenleck informieren konnten. Einige Tage später wurde der Server gesichert. Ich hatte das am 15. September 2020 im Blog-Beitrag Datenleck bei Online-Anbieter windeln.de berichtet, nachdem die Sicherheitsforscher mich informiert hatten.

Am 16. September 2020 hat windeln.de dann eine Pressemitteilungen herausgegeben, die den Vorfall bestätigt. Im Text heißt es:

Zwischen dem 10. und dem 23. Juni 2020 lagen Daten eines Teils unserer Kunden vorübergehend auf einem ungeschützten Server. Grund dafür war ein Fehler bei Wartungsarbeiten, der inzwischen behoben ist. Die Daten sind nun wieder geschützt.

Betroffen sind ausschließlich Kunden, die sich zwischen dem 24. Mai und dem 23. Juni 2020 über die App oder einen Browser auf unserer Webseite eingeloggt haben. Der Server dient als Zwischenspeicher, der die Daten spätestens alle vier Wochen automatisch löscht. Daher lässt sich unsererseits derzeit leider nicht nachvollziehen, welche und wie viele Kunden betroffen sind.

Nach heutigem Kenntnisstand befanden sich auf dem Server keine Angaben zu Zahlungsmitteln – etwa Kreditkartennummern. Jedoch lagen dort unter anderem Daten wie Name, E-Mail-Adressen, Postadressen, Telefonnummern und die Bestellhistorie betroffener Nutzer sowie in manchen Fällen auch die Geburtsdaten und Namen ihrer Kinder.

IT-Sicherheitsexperten außerhalb unseres Unternehmens hatten die unsichere Stelle entdeckt. Ob darüber hinaus unbefugte Dritte Zugang zu den Daten hatten, ist derzeit noch unklar. Wir haben eine umfassende Untersuchung eingeleitet und arbeiten mit Hochdruck daran, die Fakten mit Hilfe externer IT-Forensiker zu ermitteln.

„Wir bedauern diesen Vorgang sehr und bitten alle betroffenen Kundinnen und Kunden um Entschuldigung. Wir nehmen den Schutz von Nutzerdaten sehr ernst. Jetzt geht es für uns darum, die Details zu klären, aus den Geschehnissen zu lernen und Schaden von betroffenen Kundinnen und Kunden soweit wie möglich abzuwenden“, sagte der CEO der windeln.de SE, Matthias Peuckert.

Das Unternehmen hatte durch einen Hinweis des Bundesamts für Sicherheit in der Informationstechnik (BSI) von dem unsicheren Server erfahren und sofort reagiert.


Anzeige

Der Anbieter windeln.de SE will über die Fortschritte ihrer Untersuchung weiter informieren. Jeder mag da jetzt seine eigenen Schlüsse ziehen – speziell in Sachen ‘sofort reagiert’ und warum die Pressemitteilung erst am 16. 9. kommt, einen Tag, nachdem berichtet wurde.


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenleck, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.