Datenbank eines großen europäischen Anbieters virtueller Karten offen im Netz


Anzeige

Sicherheit (Pexels, allgemeine Nutzung)Das könnte einer der größeren Datenschutzvorfälle 2022 in Europa werden, wenn meine ersten Informationen stimmen. Einer der größten europäischen Anbieter "virtueller Karten" scheint davon betroffen, denn ein Sicherheitsforscher ist im Internet auf eine ungeschützte Datenbank des Anbieters gestoßen. Diese legt die Details des Kundenbestands und der ausgetauschten Nachrichten zwischen 2014 bis 2022 offen. Der Anbieter hat die Datenbank kurz nach der Meldung offline genommen.

Viel ist es nicht an Informationen, die mir zur Verfügung stehen – insbesondere ist der Anbieter nicht genannt. Ich ziehe es aber mal hier im Blog zusammen, um frühzeitig auf dieses Thema hinzuweisen. Die Meldung kam heute Nacht auf Twitter und stammt von Bob Diachenko, der im Bereich Cyber Threat Intelligence aktiv ist. Hier sein Tweet:

virtual cards operator data breach

Die Nachricht: Einer der größten europäischen Anbieter "virtueller Karten" hat seine Datenbanken offen im Netz stehen gelassen. Diachenko hatte Zugriff auf mehr als 67 Millionen Datensätze, die Einträge der Jahre 2014 bis 2022 umfasste. In den Datensätzen finden sich Daten der betreffenden Kunden, wie:

  • Name, E-Mail-Adresse, Geburtsdatum, Adresse (GEO) und IP-Adresse des Absenders
  • Nachricht der Karte
  • Name, E-Mail-Adresse, Adresse (GEO) des Empfängers

Bezüglich der Frage, was ein "virtueller Karten"-Operator sein kann, dachte ich erst an virtuelle Kreditkarten. Die Art der Daten (Nachrichten) deuten aber auf einen Mobilfunkanbieter hin – das von Diachenko veröffentlichte Beispiel enthält eine Nachricht mit Neujahrsgrüßen aus dem Jahr 2014, die von einer Orange-E-Mail-Adresse zu einem Empfänger beim gleichen Anbieter gesendet wurde. Es könnte sich also um France Télécom handeln, die den britischen Anbieter Orange übernommen hat und Internet- sowie Mobilfunkdienste in Frankreich anbietet – sicher bin ich aber nicht. Laut obigem Tweet von Diachenko sind Kundendaten aus Frankreich, Deutschland, Spanien und Italien mit Einträgen in der Datenbank enthalten.

In obigem Folge-Tweet schreibt Diachenko, dass er den Betreiber informiert habe. Der betreffende Server wurden dann stillschweigend offline genommen. Diachenko will das Ganze in seinem nächsten Sicherheitsbericht mit mehr Details aufgreifen – aktuell habe ich noch nichts an entsprechenden Meldungen gefunden. Auf jeden Fall ist das wohl ein DSGVO-relevanter Vorfall, der der französischen Datenschutzaufsicht gemeldet werden muss. Spannend wird sein, ob betroffene Kunden in Deutschland zeitnah über diesen Vorfall informiert werden. Ob Dritte Zugriff auf die Daten hatten und die bereits missbraucht wurden, ist unklar. Der Vorfall zeigt erneut, wie wackelig die gesamte Kommunikation geworden ist. 


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenschutz, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Datenbank eines großen europäischen Anbieters virtueller Karten offen im Netz

  1. Anonymous sagt:

    Ich würde ja nach dem Screenshot eher auf einen Versender virtueller Grußkarten tippen.

    • Günter Born sagt:

      Könnte auch sein – aber können die wirklich 67 Millionen Datensätze sammeln und haben die das Geburtsdatum?

      • Anonymous sagt:

        Naja, wenn es sich um einen Geburtstagskarte handelt.
        Mal abwarten was da noch kommt.
        Aber nach DSGVO müsste sie die Datensätze ja nach einer gewissen Zeit auch löschen (Zweck entfällt). Bis 2014 erscheint mir etwas lang….

      • Jackie sagt:

        @Günter
        Klar das Geburtsdatum des Empfängers wenn es z.B. eine virtuelle Geburtstagskarte war!

        Ich denke auch das es hier um virtuelle Grußkarten ging.

  2. Anonymous sagt:

    Da ich kein Französisch spreche, habe ich den Text aus dem Twitter-Screenshot in einen Übersetzer kopiert, da kommt dann raus:

    "frohes neues jahr 2014 mein cousin auch viel gesundheit! ich wecke ihn um 11 uhr im bett wir sollten es mit freunden machen ich habe heute abgesagt es ist besser und du hast deinen abend gut verbracht"

    Das sieht für mich eigentlich eher wie eine klassische SMS aus, da aber von einem Kartenanbieter die Rede war, würde ich hier auch eher einen Grußkarten-Anbieter vermuten.

    • Günter Born sagt:

      Möglicherweise war dein Übersetzer besoffen (?) – mein Französisch ist auch lausig bis nicht vorhanden – immer mal versucht, nicht gebraucht und alles sofort wieder vergessen. Meine Lesart des Text:

      Frohes neues Jahr 2014 mein Cousin und vor allem Gesundheit im neuen Jahr. Möge euer Silvester-Abend gut werden und ihr verbringt einen guten Abend.

      Kann SMS, eine Nachricht mit einem Messenger (wegen der E-Mail-Adressen) oder als virtuelle Grußkarte sein. Ich weiß es nicht – aber es fetzt schon rein, speziell wenn eine Verabredung zum Schäferstündchen dadurch öffentlich würde ;-).

      PS: Ich denke da immer noch mit Vergnügen an den Beitrag Ups: Hardcore-Site Rosebuttboard gehackt und halte es mit einem großen japan. Automobilhersteller "Nichts ist unmöglich …".

    • Roman sagt:

      Das passiert dem Übersetzer bei Schreibfehlern ;) réveillon nicht révellion
      Er/Sie musste am Silvesterabend um 11 ins Bett ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.