Ein schlecht gesicherter Zugang des Dienstleisters Modern Solution hat wohl dazu geführt, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren. Zu den Kunden des Dienstleisters zählen nach meinen Informationen auch Check24, Otto, Rakuten oder das inzwischen zur Schwarz-Gruppe gehörende Kaufland.
Anzeige
Mark Steier hat bereits am 24. Juni 2021 im Artikel Modern Solution Datenleck: ALLE Plattform-Endkundendaten einsehbar auf die Implikationen hingewiesen, nachdem er einen Tag vorher den Artikel zur Sicherheitslücke online gestellt hat. Ich bin über Spiegel Online auf die betreffende Information aufmerksam geworden, die vor allem kleine Händler betrifft, die Online-Marktplätze der nachfolgend genannten Plattformen zum Einkauf nutzen.
Datenbankverbindung zu externem Server
Bei der Installation einer (Händler-) Software fiel dem IT-Spezialist auf, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde. Da die für den Datenbankzugriff erforderlichen Zugangsdaten von einer Firewall des Systems protokolliert wurden, ließen sich Details zu dieser Verbindung rekonstruieren.
Die Spur führte zu einem Server der Modern Solution GmbH & Co. KG, auf dem mehrere Datenbanken vorhanden und einsehbar waren. Die Modern Solution GmbH & Co. KG ist wohl Dienstleister für die Online-Plattformen der nachfolgend genannten Anbieter. Auffällig war dabei eine Datenbank für eine 2017 aufgesetzt JTL-Shop-Installation des Dienstleister, die eine Tabelle tkunde aufwies. In dieser Tabelle fanden sich Händlerdaten, in anderen Datenbanken waren Informationen zur Kundenkommunikation einsehbar. Durch die installierte Software ließ sich auf die Inhalte der Datenbanken zugreifen. Zitat aus dem WortFilter-Artikel:
Die Händlersysteme haben einen Schreib-/Lese-Zugriff auf die mySQL-Datenbank. Alle Händler haben die Zugangsdaten, die im Klartext auslesbar waren. Dadurch konnte auch ohne die Modern-Solution-Anwendung und mit einem beliebigen SQL-Client auf den Server bzw. die Datenbank zugegriffen werden.
In Kurz: Vom Modern Solution System wurden die Zugangsdaten für die Datenbank (bei der Software-Installation) den Händlern der nachfolgend genannten Handelsplattformen im Klartext übermittelt. Mit diesen Zugangsdaten, so schreibt Wortfilter.de, lässt sich ein Händlersystem vollständig übernehmen, manipulieren oder auslesen.
Anzeige
Endkundendaten einsehbar
Bei einer Überprüfung der Datenbanken konnte Steier dann feststellen, dass praktisch alle Daten von Endkunden diverser Shops samt Transaktionen seit dem Jahr 2018 über die SQL-Datenbanken einsehbar waren. Im Blog-Beitrag hier sind folgende Shops als betroffen aufgelistet.
- autoteile24,
- check24,
- Crodfox,
- Hood,
- idealo,
- innoCigs,
- Otto,
- Rakuten,
- kaufland,
- Tyre24
Steier gibt an, dass Unbefugte Zugriff auf die Datenbanken haben, denn diese seien kopiert worden. Es handelt sich wohl um Millionen Datensätze. Spiegel Online schreibt etwas über 700.000 Betroffene, deren Daten seit Sommer 2018 einsehbar waren. Aus den einsehbaren Daten ist ersichtlich, welcher Händler bei wem Kunde war, was er bestellt hat und teilweise welche Bankverbindung zur Bezahlung verwendet wurde. Wenn ich es richtig verstanden habe, betrifft das Ganze wohl aber keine Endkunden, die bei Online-Shops von Otto, Rakuten etc. eingekauft haben.
Das Ganz löste bei den Handelsplattformen wie Otto oder Kaufland ein Beben aus. Da der Vorgang persönliche Daten umfasst, ist dies ein meldepflichtiges Ereignis nach der DSGVO. Diesem Beitrag vom 23. Juni 2021 ist zwar zu entnehmen, dass diese Anzeige erfolgte, aber Betroffene nicht ausreichend und teilweise falsch informiert wurden.
Ergänzung: Fortsetzung unter Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung und Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller.
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen
Anzeige
Ist bekannt, 0b die Lücke schon gefixt wurde und es nun sicher ist neue Zugangsdaten auf den entsprechenden Websites zu vergeben?
In den verlinkten Beiträgen ist von Versuchen, das Problem zu fixen, die Rede.
So ist das, wenn Hunz und Kunz seine Systeme "outsorced" und Dritte Daten von Vierten, Fünften… usw. verarbeiten lassen. Hauptsache, ein paar Euro gespart. Gerade von einer Größe wie OTTO erwarte ich doch, dass sie das selbst machen. Aber halt: sogar Apple nutzt statt eigener die Serverfarmen von Google und Amazon. Jedenfalls ist es eine Riesensauerei, dass durch eine inkompetente Frickelbude* "Modern Solution Systems" meine Daten zugänglich gemacht wurden!
Lebe ich in einer Blase, oder ist bisher noch nicht bekannt geworden, dass (Kunden-)Daten bei Amazon oder Google oder Apple abgezogen wurden?
*Frickelbude, ja. Wer solche Böcke schießt, ist nichts anderes als das.
Dann lösen wir mal deine Blase auf:
Datenleck: Amazon-Kundendaten wurden weiter gegeben (10.2020)
Amazon: Datenleck veröffentlicht e-Mail-Adressen
Gab es bei Microsoft ein Datenleck beim Dynamics-Pitch?
Ungesicherter Microsoft Bing Server leakt Suchanfragen, Standortdaten
Datenleck bei Nitro (PDF) betrifft Apple, Google, Microsoft & Co.
Verdammt! Danke. Ich befleißige mich ja schon, so wenig Accounts und Händlerverbindungen anzulegen; bisher dachte ich, mit Amazon und OTTO gut zu fahren (Google und Microsoft nutze ich nicht mehr). Also nur noch offline einkaufen?
Aufs Online einkaufen muss man deswegen nicht verzichten. Nach so einem Vorfall sollte man aber Sicherheitshalber das Passwort ändern (Mindestens 11 Zeichen lang).
Um das Passwort mache ich mir da weniger Sorgen, das wurde ja nicht geleaked. Aber dass jeder Krethi und Plethi Zugriff auf meine persönlichen Daten hat!
Von OTTO habe ich auch noch keine Stellungnahme gelesen.
Kaufland ist übrigens keine real-Tochter, sondern der Online-Handel von real wurde kürzlich von Kaufland übernommen. Und Kaufland ist eine Tochter der Schwarz-Gruppe (neben zB Lidl). ;-)
Auch einige Real-Supermarkt-Standorte wurden kürzlich von Kaufland übernommen, der Umbau erfolgt aber erst noch.
https://www.supermarkt-inside.de/die-komplette-real-liste-aus-92-real-maerkten-wird-kaufland/
Immer wieder muss man sich Fransen an den Mund reden, wenn man darauf besteht, dass man kein Kundenkonto anlegen möchte, oder überhaupt so wenig wie möglich Daten abgeben möchte. Latent schwingt immer der Vorwurf mangelnden Vertrauens oder überbordender Paranoia mit. Aber Vorfälle wie dieser zeigen regelmäßig, dass es eben doch wichtig ist, möglichst sparsam Daten rauszugeben.
"Wenn ich es richtig verstanden habe, betrifft das Ganze wohl aber keine Endkunden, die bei Online-Shops von Otto, Rakuten etc. eingekauft haben." eben doch. Die Endkundendaten, die bei den Marktplätzen eingekauft haben, sind einsehbar.
Da muss man dann als (ehemaliger) Endkunde aufpassen, dass nicht irgendwann Phishing-Mails reinschneien, die sich mit guten Kenntnissen der eigenen Daten zu legitimieren versuchen…