Der spanische Telefonanbieter Telefónica (bzw. dessen Tochter Movistar) musste die Woche ein Datenleck vermelden. Persönliche Daten (einschließlich Zahlungsdaten) von Millionen Kunden konnten (theoretisch) von unbefugten Dritten eingesehen werden. Ursache war mal wieder ein altbekannter Fehler beim Zugriff auf das Online-Konto eines Kunden.
Anzeige
Konkret wurden Kundendaten der Telefónica-Tochter Moviestar entwendet. Das ist wohl der PayTV und Kabelnetzanbieter von Telefónica Spanien. Der Verstoß gegen den Datenschutz bzw. das Datenleck wurde durch einen Movistar-Benutzer aufgedeckt. Dieser meldet die Sache der FACUA, einer spanischen Non-Profit-Organisation, die sich auf den Schutz der Verbraucherrechte spezialisiert hat.
Alte Schwachstelle: Konten nicht getrennt
Es ist nicht mehr an die Fingern einer Hand abzuzählen, wie oft diese Schwachstelle schon in größeren Datenlecks bzw. Hacks zum Abziehen von Benutzerdaten ausgenutzt werden konnten. Ein Benutzer hatte entdeckt, dass jeder mit einem Movistar-Konto die persönlichen Daten anderer Benutzer einsehen kann. Das ist auf einen Implementierungsfehler im Movistar Online-Kundenportal zurückzuführen. Die Implementierung verwendete die alphanumerische ID der Rechnung in der URL, die auch zum Zugriff auf das Online-Konto abgefragt wird.
Dritte brauchten nur die alphanumerische ID in der URL zu ersetzen, um die Daten des jeweiligen Teilnehmers einsehen zu können. Mit einem entsprechenden Script hätten Angreifer Millionen Telefónica-Kundendaten abgreifen können. Laut FACUA wurde Telefónica letzten Sonntag über das Problem informiert. Das Unternehmen hat das Problem am Montag wohl eingestanden.
Da das Ganze nach dem 25. Mai 2018 passierte, hat die FACUA eine Beschwerde gegen Telefónica Spanien und Telefónica Mobile bei der spanischen Agentur für Datenschutz (AEPD) eingereicht gemäß DGSVO (GDPR) eingereicht. Nach meinen Kenntnissen sind Kunden aus anderen europäischen Ländern nicht betroffen. (via)
Anzeige
Anzeige
…ich erspar' mir jetz mal das Durchschauen der Moviestar-AGBs wo wohl
irgendwo drin steht, dass man den Datenschutz sehr ernst nehme…
…kicher…kicher…
Gruss, Christian
Wenn ich mir das chaotische und stümperhaft gemachte Kundenportal der Telekom anschaue, frage ich mich schon seit längerem, ob es aufgrund dessen dort nicht auch irgendwelche Schlupflöcher für die bösen Buben gibt…
Nur mal um eine Runde zu Klugschei…..:
Es heißt Movistar und nicht Moviestar… Das hat nichts mit Movies zu tun.
Ausgesprochen wird es Mobistar und ist abgeleitet von Móvil (Mobil)
:-)
Movistar ist der Mobilfunkanbieter der Telefonica, ich glaube Nr. 2 hinter Vodafon. Wundern tut mich gar nichts bei dem Verein…