Thought Leadership
Die Vergleichsportale Verivox und Check24 sehen sich mit einer ernsten Datenschutzkrise konfrontiert. Vermutlich über Monate hinweg waren persönliche und finanzielle Informationen von Kunden durch erhebliche Sicherheitslücken leicht zugänglich. Diese Schwachstellen traten im Bereich der Kreditvermittlung auf.
Ein anonymer IT-Experte entdeckte die Datenlecks und meldete sie. Der Chaos Computer Club (CCC) trat als Vermittler auf, machte den Vorfall anschließend öffentlich und stufte ihn als “Supergau” ein. Besonders alarmierend war die Tatsache, dass für den Zugriff auf die Daten noch nicht einmal eine Kundenregistrierung erforderlich war. Bei Check24 reichte ein Universalpasswort, bei Verivox war sogar gar kein Passwort nötig – eine simple URL-Manipulation genügte. Der IT-Experte betont die Einfachheit, mit der die Datenschutzprobleme ausgenutzt werden konnten. Er weist darauf hin, dass die Bezeichnung “Sicherheitslücke” in diesem Fall fast verharmlosend sei, da die sensiblen Informationen praktisch ungeschützt im Internet lagen.
Unbefugte konnten auf eine Fülle persönlicher Informationen zugreifen. Von Namen und Adressen über Einkommensdaten bis hin zu Kontoinformationen – die Liste der exponierten Daten ist lang und brisant. Nach Angaben von Correctiv konnte man durch die einfach Manipulation der Ziffern in der Webadresse auf verschiedene Kreditangebote zugreifen. Zusätzlich gab es noch eine weitere Sicherheitslücke, die ausschließlich Check24 betraf. Laut Correctiv erforderte deren Ausnutzung etwas mehr technisches Fachwissen. Diese Schwachstelle ermöglichte es Angreifern, über Websocket in Echtzeit und ohne Authentifizierung auf neu erstellte Darlehensangebote von Nutzern der Plattform zuzugreifen. „Jeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen, und wie viel Geld sie im Moment für Kredite ausgeben”, sagt CCC-Sprecher Matthias Marx.
Beide Unternehmen haben die Sicherheitsprobleme gegenüber Correctiv bestätigt. Die Vergleichsportale haben die Sicherheitslücken nach eigenen Angaben bereits behoben. Verivox gab an, die Hinweise “sofort geprüft”, die Anwendung vorübergehend offline genommen und erst wieder online geschaltet zu haben, “nachdem eine etwaige Kompromittierung von Daten ausgeschlossen werden konnte”. Check24 bestätigte, dass das “größte Einfallstor” noch am Tag der Meldung geschlossen wurde, und das Unternehmen beseitigte in den folgenden Tagen weitere Fehler.
