Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)

ParagraphDeutsche Online-Plattformen und Marktplätze sind anfällig für Datenklau. Kaufdaten von 700.000 deutschen Kunden dieser Marktplätze waren online einsehbar. Die Betroffenen sind bisher nicht informiert worden. Das Wirtschaftsmagazin Plusminus berichtete die Tage über diese Sicherheitslücke, die den Kunden bislang weitgehend unbekannt ist. Ich hatte den Beitrag gesehen und sofort klingelte bei mir etwas. Denn ich glaube, über diesen Vorfall hier im Blog berichtet zu haben. Daher ein Abriss des Plusminus-Beitrags, und das, was ich hier im Blog zum Fall berichtet hatte.


Anzeige

Ein Bericht des SWR

Es ist ein dickes Ding, welches die Betroffenen sprachlos macht. Die Daten (Adressen, Bankverbindungen, Bestellungen und Handynummern) von mehr als 700.000 Kundinnen und Kunden aus ganz Deutschland  waren frei im Netz zugänglich. Nicht erst jetzt, sondern über mehrere Jahre lang. Betroffen von diesem Datenleck sind Kunden, die auf den Plattformen von Otto, Kaufland, Mediamarkt und anderen eingekauft haben. Hier ist die Liste der betreffenden Anbieter:

  • Otto
  • Kaufland (früher real)
  • Mediamarkt
  • Check24
  • Tyre24
  • idealo
  • hood
  • Crowdfox

Die Sicherheitslücke wurde bereits vor Monaten bei einem Schnittstellen-Dienstleister, über den die Marktplatzhändler mit den Online-Shopping-Plattformen verbunden sind, entdeckt. Ich hatte das Ganze durch Zufall in der Fernsehsendung Plusminus gesehen (siehe hier), der Beitrag ist aber beim SWR abrufbar.

Kundeninformation Fehlanzeige

Obwohl das Ganze bereits einige Monate bekannt ist, wurden die Betroffenen bisher nicht informiert. Weder die Anbieter der Online-Shops, noch der Betreiber des Online-Marktplatzes, fühlen sich dazu verantwortlich. Im SWR-Textbeitrag heißt es, dass die Plattformen darauf hinweisen, dass sie datenschutzrechtlich für die Marktplätze nicht verantwortlich seien.

Kaufland, einer der Betroffenen, erklärt gegenüber Plusminus, man sei nur "Vermittler zwischen Kunden und Händlern". Denn Händler können ihre Waren über den Shop von Kaufland (oder einen der anderen oben genannten Anbieter) verkaufen. Laut Kaufland sind die Händler die direkten Vertragspartner der Kunden. Daher sind diese auch für den Schutz der Kundendaten verantwortlich. Weder die Unternehmen, die die Shop-Plattformen bereitstellen, noch die Plattformbetreiber für diese Infrastruktur sehen sich für die Information der betroffenen Kunden zuständig.

Für den Datenschutzexperten und Ex Bundesdatenschutzbeauftragten, Dr. Thilo Weichert, ist das ein Skandal. Auch der Landesdatenschutzbeauftragten von Baden-Württemberg, Stefan Brink, ist dies, laut SWR-Artikel ein "schwerwiegender und skandalöser Vorgang".

Bin ich betroffen?

Es besteht die Befürchtung, dass die Daten der Kunden bereits im Darknet von Kriminellen für Phishing-Mails und Identitätsdiebstähle genutzt worden sein könnten. Wer auf den obigen Plattformen schon mal bestellt hat, kann über die Plattform wortfilter.de prüfen, ob er vom Datenleck betroffen ist.

Im SWR-Artikel von Marktcheck rät der Landesdatenschutzbeauftragte von Baden-Württemberg, Stefan Brink, allen Betroffenen, ihr Bankkonto im Auge zu behalten und auf verdächtige Abbuchungen zu prüfen. Natürlich gelten die üblichen Vorsichtsmaßnahmen im Hinblick auf Phishing-E-Mails, z.B., wenn angeblich der Online-Shop den Kunden anschreibt. Hier sollte man nicht auf Links im Mailtext klicken und die Mail löschen, heißt es. Zudem gibt es den Tipp, seine eigene E-Mail-Adresse beim Identity Leak Checker des Hasso-Plattner-Instituts oder auf der Webseite Have I Been Pwned? zu überprüfen, ob diese in Datenlecks bereits auftaucht.


Anzeige

Der Skandal hinter dem Skandal

Als ich den Beitrag bei Plusminus sah, klingelte was im Hinterkopf. Es wurde im SWR-Beitrag mit keinem Wort erwähnt, aber über die Sicherheitslücke hatte ich – zumindest meiner Interpretation nach – hier im Blog im Beitrag Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar berichtet.

Mark Steier, der Betreiber von Wortfilter, hatte bereits am 24. Juni 2021 im Artikel Modern Solution Datenleck: ALLE Plattform-Endkundendaten einsehbar auf die Implikationen hingewiesen, nachdem er einen Tag vorher den Artikel zur Sicherheitslücke online gestellt hatte. Einem IT-Spezialisten fiel bei der Installation einer (Händler-) Software  auf, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde. Da die für den Datenbankzugriff erforderlichen Zugangsdaten von einer Firewall des Systems protokolliert wurden, ließen sich Details zu dieser Verbindung rekonstruieren.

Auf einem Server der Modern Solution GmbH & Co. KG waren mehrere Datenbanken vorhanden und einsehbar. Es stellte sich heraus, dass die Modern Solution GmbH & Co. KG der Dienstleister für die Online-Plattformen der oben genannten Anbieter ist. Vom Modern Solution System wurden die Zugangsdaten für die Datenbank (bei der Software-Installation) den Händlern der nachfolgend genannten Handelsplattformen im Klartext übermittelt. Mit diesen Zugangsdaten, so schreibt Wortfilter.de, ließe sich ein Händlersystem vollständig übernehmen, manipulieren oder auslesen.

Normalerweise hätte ich jetzt erwartet, dass die betreffende Schwachstelle beseitigt wird und die betroffenen Kunden eine entsprechende Information erhalten – wir leben schließlich in Europa und dort gilt seit Mai 2018 die DSGVO. Aber wie oben skizziert, fühlt sich niemand zuständig, und die betroffenen Kunden sind wohl bis heute nicht informiert.

Wenn meine Annahme, dass der SWR-Artikel von Marktcheck sich auf den hier angesprochenen Vorfall bei Modern Solution nicht falsch ist, kommt noch schlimmer es. Die Modern Solution GmbH & Co. KG hat den Entdecker der Schwachstelle und auch den Betreiber der Seite wortfilter.de, den Blogger Mark Steier, wegen dieses Vorfalls angezeigt. Für den Entwickler hatte dies gravierende Folgen., denn in dessen Firma wurden laut Berichterstattung fünf Notebooks, drei externe Festplatten, zwei USB-Sticks sowie der Rechner, in dem sie steckten, sowie das Smartphone des Betroffenen beschlagnahmt. Das war eine existenzbedrohende Situation, da dem Betroffenen nicht nur die Arbeitsgeräte, sondern auch alle Arbeits- und Projektdaten samt Quellcodes fehlen. War im Herbst 2021 – also in Zeiten, wo Freiberufler und kleine Firmen wegen Corona eh schon zu kämpfen haben. Die betreffenden Hintergrundartikel aus meinem Blog sind am Beitragsende verlinkt.

Im Bananenland angekommen?

Warum werde ich bloß das Gefühl nicht los, dass wir irgendwie in einer Bananenrepublik gelandet sind. Es wird im Sommer 2021 eine Schwachstelle entdeckt, die Hundertausende brisante Daten offen legt. Drei Monate nach der Entdeckung findet im Herbst 2021 beim Entdecker eine Hausdurchsuchung wegen der Offenlegung der Schwachstelle statt. Sechs Monate später, im Januar 2022, sind die Betroffenen immer noch nicht über das Datenleck informiert – und die Verursacher schieben sich – juristisch wohl unangreifbar – die Verantwortung hinsichtlich der Benachrichtigung zu.

Es ist nur der Berichterstattung des SWR (gut, ich gehe davon aus, dass Mark Steier und der betroffene Entwickler die Redaktion drauf gehoben haben) zu verdanken, dass das Ganze publik wird. Die Datenschützer sammeln und bewerten noch. Wenn aber eine Webseite mal einen Cookie-Consent-Banner falsch setzt, drohen die gleichen Institutionen gleich mit der großen Keule.

Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenschutz, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)

  1. Thorsten K. sagt:

    Herzlich Willkommen in der der BRD,

    das Gefühl teile ich schon länger:

    _B_ananen_R_epublik_D_eutschland!

    Günter: Danke für deinen Blog!

  2. janil sagt:

    Habe zwar schon wenig bei den oben aufgeführten Unternehmen online eingekauft, werde es jetzt aber nicht mehr tun, die Namen sind abgespeichert.
    Wenn es deutsche Unternehmen nicht hinbekommen… so wird es eben weiterhin hauptsächlich Amazon sein. Auf dem Land ist man mittlerweile auf funktionierende und auch relativ sichere Onlinekäufe angewiesen.

    • Steter Tropfen sagt:

      Weil die bösen bösen deutschen Onlinehändler so unzuverlässig mit Daten umgehen, schmeißt du deine Privatsphäre einer raubtierkapitalistischen Datenkrake in den Rachen, die unser Rechtssystem missbraucht (www.tagesschau.de/wirtschaft/unternehmen/amazon-verfassungsbeschwerde-101.html), um ihre Macht auszudehnen und alle Mitbewerber auszuschalten?
      – Der war jetzt echt gut. *rofl*

      Ich würde sagen: Wer seine Kontoauszüge ungelesen wegschmeißt, den bestraft eben das Leben. Längst nicht so schlimm wie Firmen, bei denen das Geschäftsziel im umfassenden Zugriff auf sämtliche Lebensäußerungen ihrer Opfer besteht.

  3. chw9999 sagt:

    Zum Thema "Informieren des Kunden" und "ich bin nicht zuständig": Wenn ich ein Konto bei dem Dienst habe – und z.B. bei Check24 muss man ja eines haben, um bei einem Händler bestellen zu können – dann habe ich es nun mal bei Check24 und nicht irgendwo beim Kunden. Ich bin kein Anwalt, aber ich finde das recht eindeutig. Ich hoffe, die bekommen eins übergebraten.
    Auch ich hatte einmal diesen "Dienst" chek24 mal vor drei Jahren genutzt (allerdings ohne Kontodaten oder Telefonnummer) – das Konto war weiterhin aktiv, obwohl ich nicht einmal in der Zeit eingeloggt war. Tja, Danke, das war's, Konto gelöscht.
    Ja, Tropfen und heißer Stein und so, aber mehr und schneller kann man als (ex)Kunde erst mal nichts machen.

  4. David sagt:

    Tja – gewöhnt euch dran!
    Das ist typisch deutsch. Viel Datenschutz auf dem Papier – wenig in der Praxis.
    Oder: die Kleinen hängt man – die Großen lässt man laufen (sie sind ja systemrelevant).
    Oder: Der Überbringer der schlechten Nachricht wird gehängt.

    Au weia – wo sind wir hier hingekommen?
    Viel schlimmer: Wo wird uns das noch hinführen? Dagegen ist der Datenschutz in China ja direkt professionell! Das verheimlicht man wenigstens nicht, dass zumindest der Staat über dich alles weiß.
    Ich bin sehr, sehr enttäuscht über diese Doppelmoral.

    Danke für den Beitrag, Günter!

    • David Blaz sagt:

      Ich kann deinem Beitrag nur zustimmen, denn ich predige über die Doppelmoral in unserem Lande was Datenschutz angeht seit Jahren. Es fehlt einfach der Mut der Verantwortlichen, etwas zu ändern. Hier gilt der Status Quo immer noch als unveränderbar, solange die Bequemlichkeit und fehlende Bereitschaft Verantwortung zu übernehmen herrscht.

  5. Olli sagt:

    Weiß man denn mehr über die Technik? 700.000 Kunden – das wird ja nur ein Teil derjenigen sein, die z.B. ein Otto.de-Konto haben.

    So wie ich das verstehe verwenden einige nicht(!) alle Händler diese Software von Modern Solutions um damit die Anbindung an den Marketplace durchzuführen. Damit dürften nur solche Kunden betroffen sein, die bei eben diesen Händlern eingekauft haben und es ist auch die Frage ob der Plattform-Betreiber überhaupt ohne weiteres weiß wer diese Software benutzt?

    Muss ein Händler das angeben bei den Plattform-Betreibern? Ich meine früher zu eBay-Hoch-Zeiten gab es ja auch Leute die per automatischen Tools den letzten "Klick" durchgeführt haben – und eBay hatte darauf nur "bedingt" Einfluss…

    Es ist also gar nicht so Interessant zu sagen MediaMarkt.de – sondern eigentlich müsste man die tatsächlichen Marketplace Händler kennen um zu bewerten ob man betroffen ist. Die Prüfseite Wortfilter.de – naja ich bin skeptisch wenn ich Daten irgendwo eingeben muss um zu prüfen ob die irgendwo eingeben worden sind…

    Das natürlich die Plattform-Betreiber dem Spuk ganz schnell ein Ende bereiten könnten, wenn sie denn nur wollten – ist völlig klar…

    • moki11so sagt:

      Betroffen ist eine Schnittstelle die Händler nutzen, um Bestellungen von Marktplätzen abzuholen. Der Verbraucher bestellt z.B. bei Otto. Otto selber gibt den Auftrag jedoch an einen Händler weiter. Die Schnittstelle kümmert sich darum, dass die Bestellung von Otto in das Warenwirtschaftssystem vom Händler kommt. Es wird vom SWR krittisiert, das die Marktplätze nicht prüfen, wer die Daten bei Ihnen abholt. Jeder kann also so eine Schnittstelle bauen und Händler an einen Marktplatz anbinden, ohne das die Plattformbetreiber prüfen, wo die Daten landen oder welchen Weg sie gehen.

      Bei eBay brauchst du als Entwickler einen Zugang, musst dich also zumindest einmal vorstellen. Mittlerweile muss ein Programmierer glaubhaft darstellen, dass die Anwendung im Sinne der Verbraucher handelt (z.B. Daten verschlüsselt oder nach der Verarbeitung wieder entfernt).

      Der Checker auf wortfilter.de sendet keine Klartextdaten, sondern lediglich einer Prüfsumme der Eingabe an den Server (MD5), die dann gegen eine Liste von bekannten Prüfsummen geworfen wird.

  6. Zocker sagt:

    Betrifft das nur normale Kundenkonten oder auch Gastbestellungen?

    • Micha sagt:

      Die Frage habe ich mir auch schon gestellt. Bestelle manchmal bei Mediamarkt als Gast. Die Abholung und Bezahlung wird dann im Lokalen Markt durchgeführt.

  7. Thierry sagt:

    Laut DSGVO Art. 15: Auskunftsrecht, hat jeder Mensch das Recht zu erfahren, ob personenbezogene Daten von Ihnen verarbeitet werden oder nicht. Laut Art. 17: Recht auf Löschung, haben Sie das Recht, dass Ihre persönlichen Daten auf Ihren Wunsch hin gelöscht werden. Sollten Ihre Daten noch benötigt werden, zum Beispiel zur Klärung von Rechtsfragen, können Sie nach Artikel 18 auch die Sperrung der Daten verlangen. Klar, kann ich die Liste ergänzen (https://dsgvo-gesetz.de/), aber das wäre hier abenteuerlich. Eine Sammelklage ist mehr als empfohlen. Nur das kann lang dauern… bis alles verjährt ist, wie bei Cum, Cum-Ex und Wirecard. Ja, wird werden von bandenmäßigen Betrügern an die Nase herumgeführt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.