Der Chaos Computer Club (CCC) hat eine veritable Sicherheitslücke bei den Vergleichsportalen Check24 und Verivox gefunden. Über Schwachstellen ließen sich bei beiden Vergleichsportalen Darlehensverträge von Kreditinteressierten heruntergeladen. Dadurch hätten Dritte an Postanschriften, Einkommensangaben, Bankdaten und E-Mail-Adressen dieser Personen gelangen können.
Anzeige
Ein Datenleck bei Check24 und Verivox
Es ist ein veritabler Datenschutzvorfall, auf den der Chaos Computer Club (CCC) gerade aufmerksam gemacht hat. Über die Webseiten der beiden genannten Vergleichsportale konnten Interessenten Darlehensverträge beantragen. Dazu sind natürlich eine Menge Angaben zu machen – und wer mal bei den beiden Anbietern aktiv war, kennt es, dass man die eigenen Anträge auch per Webseite mit der richtigen URL abrufen bzw. einsehen kann.
Nur war es so, dass unbeteiligte Dritte in der Lage gewesen wären, über unsichere direkte Objektreferenzen auf Darlehensverträge von anderen Kreditinteressierten zuzugreifen. Es reichte ein simples Hoch- oder Runterzählen eines Parameters in einer URL, um sich durch die Darlehensverträge zu bewegen, wie der CCC hier mitteilt. Die Details hat Correctiv im Artikel Kreditvermittlung bei Check24 und Verivox: Kritische Datenlecks entdeckt veröffentlicht.
Brisante Daten abrufbar
Bei Check24 und Verivox handelt es sich um sogenannte Vergleichsportale, auf denen Verbraucher Strom-, Gas-, Handy- und Internettarife sowie Versicherungen, Kredite und andere Dienstleistungen vergleichen können. Ich tippe darauf, dass auch ein Großteil der Leser hier im Blog irgendwann schon mal diese Portale benutzt hat. In der Regel gibt man dort neben einer E-Mail-Adresse vertrauliche Daten an. Speziell bei Kreditanträgen wollen die Kreditgeber einige Details wissen.
Anzeige
Im Bereich Kreditvermittlung gab es bei beiden genannten Vergleichsportalen Schwachstellen, die laut Correctiv Unbefugten den Zugriff auf Verivox-Kreditnehmerdaten von bis zu 75.000 Menschen ermöglichten. Correctiv schreibt, dass "bis vor wenigen Tagen" vertrauliche persönliche Daten von Kreditnehmern über das Datenleck abrufbar waren. Zu diesen Daten gehörten Name und Adresse, Einkommen, die Zahl der Kinder oder das Arbeitsverhältnis. Beim CCC ist auch die Rede davon, dass IBANs der Bankverbindungen der Kreditnehmer einsehbar waren.
IT-Experte entdeckt Schwachstellen
Ein anonymer IT-Experte stieß im Juli 2024 durch Zufall bei Check24 auf die als trivial bezeichnete Schwachstelle. Eine Überprüfung des Konkurrenzportals Verivox ergab, dass dort ähnliche Schwachstellen vorlagen. Diese technischen Fehler ermöglichten das Abrufen der fremden Dokumente für Dritte. Der Experte informierte den CCC (es ist dem Modern Solutions-Fall geschuldet, dass der Entdecker der Schwachstelle den CCC und nicht die Unternehmen informierte), der Corrrectiv mit ins Boot nahm. Correctiv kontaktierte beide Unternehmen zeitnah, die dann das Datenleck bestätigten und die Schwachstelle zeitnah schlossen.
- Check24 und das Bayerisches Landesamt für Datenschutzaufsicht wurden am 29.07.2024 über das Problem informiert
- Verivox und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg wurden am 20.08.2024 über die Schwachstelle informiert
Laut Correctiv-Bericht hat Check24 die größte Schwachstelle am 30.07.2024 beseitigt, weitere Fehler sollen in den Folgetagen korrigiert worden sein. Der CCC schreibt, dass bei Check24 zudem ein ungesicherter Websocket gefunden wurde, über den man live und ohne Authentifizierung neue Kreditangebote mitschneiden konnte. Interessant war, dass Check24 zwar den Zugriff auf Kreditangebote durch ein Passwort gesichert hatte. Dieses Passwort galt aber für alle Kunden. Bei Verivox war nicht einmal ein Passwort für den Zugriff auf die Dokumente erforderlich – es reichte die Kenntnis der betreffenden URL.
Fragen zur Sicherheit des Geschäftsmodells
Beide Vergleichsportale Check24 und Verivox verfolgen ein Geschäftsmodell, bei dem Interessierte sensitive, persönliche Daten für einen Anbietervergleich angeben müssen. Die veritablen Datenlecks werfen nun kritische Fragen auf bzw. sind der GAU für die beiden Anbieter. Wenn Dritte ebenfalls auf die Schwachstellen gestoßen sind, konnten sie brisante vertraulich Daten abgreifen. Nutzer waren einem großen Risiko ausgesetzt, dass ggf. erbeutete Daten für kriminelle Zwecke missbraucht werden könnten.
Außenstehende haben keinen Zugriff auf die Log-Dateien, können also nicht feststellen, ob Unbefugte über die Schwachstellen Zugriff auf diese Daten hatten. Sowohl Check24 als auch Verivox negieren einen Fremdzugriff, man habe keine unbefugten Zugriffe auf die Daten ihrer Nutzer festgestellt.
Es bleibt aber die Frage nach der Datensicherheit bei beiden Anbietern. Beim Vergleichsportal Verivox ist mir sofort die Datenpanne aus dem Jahr 2023 durch den Kopf gegangen. Damals wurde der Anbieter Opfer der MoveIT-Schwachstelle (siehe Cyber-News: MOVEit-Opfer, Zurich Insurance, Verivox etc. und weitere Cyber-Vorfälle (19. Juni 2023)). Der Vorfall bestätigt meinen persönlichen Bauchschmerzen, wenn ich mal wieder ein solches Vergleichsportal (z.B. für einen KFZ-Versicherungsvergleich) benutzt habe. Die Details des obigen Vorfalls lassen sich ausführlich bei Correctiv nachlesen.
Ähnliche Artikel:
Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar
Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)
Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung
Amtsgericht Jülich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)
Verivox-Datenschutzvorfall: Auswirkungen auf Maingau Energie?
Cyber-News: MOVEit-Opfer, Zurich Insurance, Verivox etc. und weitere Cyber-Vorfälle (19. Juni 2023)
Anzeige
hm, ich sehe da noch etwas….
2 Unternehmen, vorgeblich Wettbewerber, haben in ihrer Web Software die gleichen Fehler/Lücke.
Seltsam, oder?
Das erinnert mich irgendwie an die Anfänge von Facebook und war es SchülerVZ?, die beide identischen Code verwendet haben sollen, wobei der eine nur die Texte eingedeutscht haben sollte.
Aber auch der andere nicht wirklich sauber an seinen Code gekommen sein soll. Aber das ist zu lange her…und ich glaube konkret ist da nie was geworden.
Da gabs doch vor ein paar Jahren mal die Info das da letztendlich ein und die selbe Firma dahinterstecken auch bei Fluege.de & Co.
Ist aber ja nix ungewöhnliches schau dir Nestle & Co in der analogen Welt an, oder den Reifen und Felgenhandel… zig Seiten/Marken und dann steckt doch nur ein Konzern dahinter.
Usual Bussiness!
Richtig – siehe auch Baumärkte, Lebensmittel-Einzelhandel usw. usw. Das ist alles Teil des Kapitalismus-Problems (Kartelle, Übernahmen, Fusionen…), über das Niemand aus Politik und Wirtschaft spricht. Warum auch, für die Oberschicht "läuft's" ja super. Seit langem schon haben wir nicht nur in Deutschland, Europa eine Marktwirtschaft in weiten Teilen ganz ohne, oder nur noch mit marginalem Wettbewerb. Die gleichen Leute die davon profitieren, beklagen nun den "Fachkräftemangel", welcher zum Erstarken von Gewerkschaften, aber auch einzelnen Arbeitnehmern führt(e) … ob es wirklich nur an dem in Deutschland hoffnungslos überteuerten Energiepreisen liegt, das viele Unternehmen derzeit das Weite suche … kann glauben wer will. VW ist nur ein Beispiel für "grottenschlechte" Management-Entscheidungen. Nun – hinterher – sagen natürlich alle wieder den berüchtigten Satz "das hat ja keiner wissen können" … ist schon komisch, das jeder Fließbandarbeiter inzwischen mehr Grips hat, als diese Akademiker-Bande an der Spitze von Unternehmen und der Politik.
Die "Wahl" zwischen Pest und Cholera … trifft für die kommenden Wahlen in D mehr zu denn je. Man kann die Republik (das System) durch das blaue Gift im Eiltempo zerstören, oder das den etablierten V.I.'s überlassen, dann dauert es halt länger, bis etwas noch schlechteres für die unteren 70% entsteht … darüber sollten sich diese Wähler halt im Klaren sein, das es sicher nicht zu ihrem Vorteil sein wird, "einfach" ins Blaue hinein zu wählen. Es ist wie es immer war in der Geschichte der Politik, eine Verlockung, ein Blendwerk und danach kommt der Schrecken, wenn es dumm läuft wie in Russland oder China, ein Schrecken ohne Ende … (nur für das Subjekt endlos, natürlich endet jedes System irgendwann, das kann aber mehrere Generationen überspannen). Will man das? Wirklich?
Herr Born, bitte übernehmen Sie!
Der Kommentar wäre hier im IT-Blog sicherlich entbehrlich gewesen – hab ihn bereits gelesen und hielt ihn ad-hoc nicht so daneben, dass ich ihn zensieren möchte. Aber an dieser Stelle nochmals der Appell an Hobbyperte (und andere Kandidaten) allzu ausschweifende politische Kommentare der Weltgeschichte zukünftig zu unterlassen. Das gehört nicht hierher und ich lösche künftig und behalte mir auch eine Sperre bestimmter Nutzer vor. Danke für euer Verständnis
Danke – auch wenn dieser Hinweis an gewisse *perte und *zifer wohl nicht das erste Mal vorkommen dürften und diese es (so sie denn wollen) auch besser können.
Die Digitalisierung wächst uns als Gesellschaft längst über den Kopf – will nur niemand wahr haben. Hier liegt noch ein Fall, der jetzt bei zwei Landesdatenschutzbehörden kreist, wo ich (nach dem Tipp eines Lesers) – ähnlich wie bei Bauhaus – Daten per Internet abfischen konnte – so in der Art "Oh, Du bist aber ein Schweinepriester, so wie Du mit deinem letzten Auto umgegangen bist …".
Ein LfDI fragte dann nach, ob ich "eine Kontaktadresse hätte, wo man mal nachfragen könne" (der Fall hat europäische Dimensionen) … mal schauen, wann ich Rückmeldung kriege und das im Blog thematisieren kann. Lustig ist ja auch, wie die Justiz reagiert, wenn jemand aufdeckt (hatte oben im Text darauf hingewiesen).
Und die nächsten Klopper harren auch der Aufbereitung: Eine Software für den KFZ-Handel, die Root-Rechte auf den Systemen benötigt, oder Palantir bei Autoherstellern um "Daten aufzubereiten". Herrlich, wenn dann mittendrin die "ich hab doch nichts zu verbergen Fraktion" auch noch mitmischt.
Aber aktuell schnitze ich noch am Blog-Umzug und will erst noch das Thema elektronische Patientenakte aufgreifen – da tun sich für mich aktuell ebenfalls Abgründe auf, nachdem klar ist, was von dem versprochenen "Patient verwaltet Zugriffsrechte" übrig geblieben ist. eGK stecken und "alles" hat 90 Tage Zugriff auf deine ePA – läuft.
Das wäre gut, besonders vielleicht die Möglichkeiten die EPA abzulehnen, was ich nach einigem Recherchieren und Formular downloaden und per Einschreiben an die Knappschaft schicken, dann auch so erledigt habe. Bekomme bei dem ganzen Gebaren der Experten und Krankenkassen fast schon Bauchschmerzen. Es wird schön geredet, klein geredet, alles ist sicher geredet und nur zwischendrin, bei Dir hier, und auf CCC findet sich dann Information, was für eine Zeit*ombe da schlummert. Musste an die Meldung aus Amiland denken, wo mit mal Millionen Datensätze Krankenversicherter offen im Netz kreisten, Datengold frei verfügbar.
Hi…
Tja, ein Schelm, wer "dahinter" mglw. auch gar noch Absicht vermutet, um der ach so gebeutelten und datenverarmten Wirtschaft doch noch auf i-eine Art Zugriff zu verschaffen.
GB: "…Ich tippe darauf, dass auch ein Großteil der Leser hier im Blog irgendwann schon mal diese Portale benutzt hat…"
vor sehr langer Zeit mit gefakten Daten nur für sehr einfache Preisvergleiche. Sensible Daten erhält KEIN Dritter von mir! Das ziehe ich konsequent inkl. Zahlungsdienstleister durch. Manches shopping dauert dadurch länger, ist es mir aber wert wie man wiederholt sieht.
Fraktion: Ich habe viel zu verbergen ;-)
Für zusätzliche Mailaddis im regulären account bieten einige Provider die Möglichkeit mit +… vor dem @ das zu tun. Einfach ausprobieren, sieht dann so aus:
regulär+check25@mail.xy
Die ist dann eindeutig zuordenbar, wird über den normalen account mit abgerufen und lässt sich klasse filtern! Zum Senden im Mailprogramm als zus. Adresse (weitere Identität) einrichten.