[English]Es gibt leider wieder eine schwere Datenpanne zu vermelden. Getroffen hat es die Kunden von Kanadas viertgrößtem Mobilfunkanbieter Freedom Mobile (ehemals Wind Mobile). Sicherheitsforscher entdeckten eine Datenbank, die ungeschützt und unverschlüsselt per Internet zugreifbar war. Die Datenbank enthielt bis zu 1,5 Millionen aktive Freedom Mobile-Nutzer mit ihren personenbezogenen Daten.
Anzeige
Entdeckt wurde das Ganze von einem Forscher-Team des Sicherheitsanbieters vpnMentor, die das Ganze in diesem Blog-Beitrag veröffentlicht haben. Die Hacktivisten Noam Rotem und Ran Locar stießen bei ihrer Suche im Internet kürzlich auf eine völlig ungeschützte und unverschlüsselte Datenbank, die per Internet erreichbar war. Der Fund hatte es in sich, enthielt die Datenbank doch um die 5 Millionen Einträge, die sich auf ca. 1,5 Millionen Kunden des Mobilfunkanbieter Freedom Mobile reduzieren ließen. Und diese Kundendaten sind recht brisant, da die betreffenden Personen durch die Datensätze auch mit Zahlungsinformationen wie Kreditkartendaten gläsern wurden. In der Datenbank fanden sich Felder mit folgenden Daten:
- E-Mail-Adressen
- Private und mobile Telefonnummern
- Privatadressen
- Geburtstage
- Kundentyp
- IP-Adresse, die mit der Zahlungsmethode verknüpft ist
- Unverschlüsselte Kreditkartennummern und CVV-Prüfziffern
Die Sicherheitsforscher hatten auch Zugriff auf Kontonummern, Abonnements-Daten, Faktura-Zyklen und Aufzeichnungen des Kundenservices. Mit in der Datenbank waren auch Bonitätsbeurteilungen von Equifax und anderen Unternehmen zu den Kunden gespeichert. Dies umfasste auch die Gründe für die Annahme oder Ablehnung eines Vertrags. Hier ein Screenshot der betreffenden Datensätze.
( Freedom Mobile Datenbank-Einträge, Quelle vpnmentor.com, Zum Vergrößern klicken)
Kritisch an diesem Sachverhalt ist vor allem, dass die Kreditkartendaten unverschlüsselt und mit Prüfcode abgelegt waren. Jemand, der diese Daten erbeutet, kann mit diesen Daten auf Kosten der Karteninhaber einkaufen.
Anzeige
Ironisch an der Geschichte ist der Kopf des Twitter-Profil des Unternehmens, der oben abgebildet ist. Dort lobt Freedom Mobile sich für sein hohes Niveau in Bezug auf Datenschutz.
Zähe Reaktion des Unternehmens
Nachdem die Leute von vpnmentor die Datenpanne entdeckt hatten, wurde Freedom Mobile sofort per E-Mail in Kenntnis gesetzt. Eine sofortige Antwort oder irgend eine Reaktion blieb aber aus. Hier die Historie des Ablaufs:
- 17. April: Entdeckung der ungeschützten Datenbank von Freedom Mobile
- 18. April: E-Mail an Freedom Mobile, um das Unternehmen über die schwere Datenschutzverletzungen zu informieren. Es gibt keine Antwort.
- 23. April: Erneuter Versuch, Freedom Mobile erneut zu kontaktieren – auch unter Beteiligung weiterer Sicherheitsforscher.
- 24. April: Freedom Mobile reagiert endlich auf Nachrichten und sichert seine Datenbank ab.
Jetzt können die Betroffenen nur noch hoffen, dass niemandem sonst die offene Datenbank aufgefallen ist. Denn mit den Daten lässt sich ja wunderbar Identitätsdiebstahl begehen – und die Kreditkartendaten können für Bestellungen genutzt werden. Der Vorfall zeigt, wie sorglos Unternehmen noch immer mit Kundendaten umgehen.
Anzeige
Jedes Unternehmen und jeder Dienstleister, der so sträflich nachlässig mit Kundendaten umgeht, sollte eine Strafe bekommen, die wirklich weh tut. Anders ist diesen immer wieder auftretenden Problemen anscheinend nicht beizukommen.
Für Sorglosigkeit dieser Art ist keine Ausrede gerechtfertigt. Dass Sicherheit Geld kostet dürfte Jedem klar sein, aber die Unternehmen nagen ja nicht am Hungertuch.