Sicherheitslücken legen Kundendaten offen

Der Chaos Computer Club (CCC) hat schwerwiegende Sicherheitslücken bei den Kreditvermittlungsplattformen Check24 und Verivox aufgedeckt. Laut CCC war es zeitweise möglich, Darlehensverträge herunterzuladen, die sensible Informationen wie Einkommensnachweise und Kontonummern enthielten.

"Es war für jeden einsehbar, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen und wie viel Geld sie aktuell für Kredite ausgeben", erklärte CCC-Sprecher Matthias Marx gegenüber der gemeinnützigen Organisation Correctiv.

Verivox teilte mit, dass das Datenleck nach dem Hinweis des CCC sofort geschlossen wurde. Es habe, abgesehen von dem Hinweisgeber, keinen unbefugten Zugriff auf die Daten gegeben.

"Wir gehen daher davon aus, dass unseren Kunden kein Schaden entstanden ist", hieß es weiter. Der baden-württembergische Datenschutzbeauftragte untersucht derzeit den Vorfall.

Check24 reagierte zunächst nicht auf Anfragen, ließ jedoch später verlauten, dass der Fehler behoben und keine unbefugten Zugriffe festgestellt worden seien. Zudem habe das Unternehmen seine Mitarbeiter nachgeschult.

Der CCC berichtete, dass ein IT-Sicherheitsexperte im Juli zuerst bei Check24 auf die Schwachstellen gestoßen sei. Daraufhin habe er auch die Sicherheitsvorkehrungen von Verivox geprüft und dort ähnliche Probleme entdeckt.

Diese Lücken hätten bei routinemäßigen Überprüfungen eigentlich sofort auffallen müssen. Der IT-Experte kritisierte das Vorgehen der Plattformen als "stümperhaft" im Umgang mit Kundendaten: "Der Begriff 'Sicherheitslücke' ist hier fast irreführend, da die Daten in beiden Fällen einfach frei im Internet zugänglich waren."