Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar

Sicherheit (Pexels, allgemeine Nutzung)Ein schlecht gesicherter Zugang des Dienstleisters Modern Solution hat wohl dazu geführt, dass Händlerdaten (Bestellungen, Adressen und auch Kontodaten) für Dritte über das Internet abrufbar bzw. einsehbar waren. Zu den Kunden des Dienstleisters zählen nach meinen Informationen auch Check24, Otto, Rakuten oder das inzwischen zur Schwarz-Gruppe gehörende Kaufland.


Anzeige

Mark Steier hat bereits am 24. Juni 2021 im Artikel Modern Solution Datenleck: ALLE Plattform-Endkundendaten einsehbar auf die Implikationen hingewiesen, nachdem er einen Tag vorher den Artikel zur Sicherheitslücke online gestellt hat. Ich bin über Spiegel Online auf die betreffende Information aufmerksam geworden, die vor allem kleine Händler betrifft, die Online-Marktplätze der nachfolgend genannten Plattformen zum Einkauf nutzen.

Datenbankverbindung zu externem Server

Bei der Installation einer (Händler-) Software fiel dem IT-Spezialist auf, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde. Da die für den Datenbankzugriff erforderlichen Zugangsdaten von einer Firewall des Systems protokolliert wurden, ließen sich Details zu dieser Verbindung rekonstruieren.

Die Spur führte zu einem Server der Modern Solution GmbH & Co. KG, auf dem mehrere Datenbanken vorhanden und einsehbar waren. Die Modern Solution GmbH & Co. KG ist wohl Dienstleister für die Online-Plattformen der nachfolgend genannten Anbieter. Auffällig war dabei eine Datenbank für eine 2017 aufgesetzt JTL-Shop-Installation des Dienstleister, die eine Tabelle tkunde aufwies. In dieser Tabelle fanden sich Händlerdaten, in anderen Datenbanken waren Informationen zur Kundenkommunikation einsehbar. Durch die installierte Software ließ sich auf die Inhalte der Datenbanken zugreifen. Zitat aus dem WortFilter-Artikel:

Die Händlersysteme haben einen Schreib-/Lese-Zugriff auf die mySQL-Datenbank. Alle Händler haben die Zugangsdaten, die im Klartext auslesbar waren. Dadurch konnte auch ohne die Modern-Solution-Anwendung und mit einem beliebigen SQL-Client auf den Server bzw. die Datenbank zugegriffen werden.

In Kurz: Vom Modern Solution System wurden die Zugangsdaten für die Datenbank (bei der Software-Installation) den Händlern der nachfolgend genannten Handelsplattformen im Klartext übermittelt. Mit diesen Zugangsdaten, so schreibt Wortfilter.de,  lässt sich ein Händlersystem vollständig übernehmen, manipulieren oder auslesen.


Anzeige

Endkundendaten einsehbar

Bei einer Überprüfung der Datenbanken konnte Steier dann feststellen, dass praktisch alle Daten von Endkunden diverser Shops samt Transaktionen seit dem Jahr 2018 über die SQL-Datenbanken einsehbar waren. Im Blog-Beitrag hier sind folgende Shops als betroffen aufgelistet.

  • autoteile24,
  • check24,
  • Crodfox,
  • Hood,
  • idealo,
  • innoCigs,
  • Otto,
  • Rakuten,
  • kaufland,
  • Tyre24

Steier gibt an, dass Unbefugte Zugriff auf die Datenbanken haben, denn diese seien kopiert worden. Es handelt sich wohl um Millionen Datensätze. Spiegel Online schreibt etwas über 700.000 Betroffene, deren Daten seit Sommer 2018 einsehbar waren. Aus den einsehbaren Daten ist ersichtlich, welcher Händler bei wem Kunde war, was er bestellt hat und teilweise welche Bankverbindung zur Bezahlung  verwendet wurde. Wenn ich es richtig verstanden habe, betrifft das Ganze wohl aber keine Endkunden, die bei Online-Shops von Otto, Rakuten etc. eingekauft haben.

Das Ganz löste bei den Handelsplattformen wie Otto oder Kaufland ein Beben aus. Da der Vorgang persönliche Daten umfasst, ist dies ein meldepflichtiges Ereignis nach der DSGVO. Diesem Beitrag vom 23. Juni 2021 ist zwar zu entnehmen, dass diese Anzeige erfolgte, aber Betroffene nicht ausreichend und teilweise falsch informiert wurden.

Ergänzung: Fortsetzung unter Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung und Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller.

Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller
Anzeige von Modern Solution: Verfahren gegen Entdecker einer Schwachstelle vor Gericht abgewiesen


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar

  1. Sebastian sagt:

    Ist bekannt, 0b die Lücke schon gefixt wurde und es nun sicher ist neue Zugangsdaten auf den entsprechenden Websites zu vergeben?

  2. Gui Do sagt:

    So ist das, wenn Hunz und Kunz seine Systeme "outsorced" und Dritte Daten von Vierten, Fünften… usw. verarbeiten lassen. Hauptsache, ein paar Euro gespart. Gerade von einer Größe wie OTTO erwarte ich doch, dass sie das selbst machen. Aber halt: sogar Apple nutzt statt eigener die Serverfarmen von Google und Amazon. Jedenfalls ist es eine Riesensauerei, dass durch eine inkompetente Frickelbude* "Modern Solution Systems" meine Daten zugänglich gemacht wurden!

    Lebe ich in einer Blase, oder ist bisher noch nicht bekannt geworden, dass (Kunden-)Daten bei Amazon oder Google oder Apple abgezogen wurden?

    *Frickelbude, ja. Wer solche Böcke schießt, ist nichts anderes als das.

  3. Harald M. Genauck sagt:

    Kaufland ist übrigens keine real-Tochter, sondern der Online-Handel von real wurde kürzlich von Kaufland übernommen. Und Kaufland ist eine Tochter der Schwarz-Gruppe (neben zB Lidl). ;-)

  4. icke sagt:

    Immer wieder muss man sich Fransen an den Mund reden, wenn man darauf besteht, dass man kein Kundenkonto anlegen möchte, oder überhaupt so wenig wie möglich Daten abgeben möchte. Latent schwingt immer der Vorwurf mangelnden Vertrauens oder überbordender Paranoia mit. Aber Vorfälle wie dieser zeigen regelmäßig, dass es eben doch wichtig ist, möglichst sparsam Daten rauszugeben.

  5. moki11so sagt:

    "Wenn ich es richtig verstanden habe, betrifft das Ganze wohl aber keine Endkunden, die bei Online-Shops von Otto, Rakuten etc. eingekauft haben." eben doch. Die Endkundendaten, die bei den Marktplätzen eingekauft haben, sind einsehbar.

    • Anonymous sagt:

      Da muss man dann als (ehemaliger) Endkunde aufpassen, dass nicht irgendwann Phishing-Mails reinschneien, die sich mit guten Kenntnissen der eigenen Daten zu legitimieren versuchen…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.