Datenleck bei Online-Anbieter windeln.de

[English]Unschöne Geschichte, die mir bereits einige Tage vorliegt, zu der ich aber erst jetzt Details erhalten habe. Der deutsche Anbieter windeln.de hat einen unsicheren Server betrieben, so dass die persönlichen Daten von 700.000 Kunden abrufbar waren.


Anzeige

Den ersten Hinweis gab es für mich, als die Kollegen von Bleeping Computer mich um eine Einschätzung des Anbieters windeln.de baten, ohne jedoch Details zu nennen. Der Anbieter verkauft in seinem Online-Shop so allerlei Sachen für junge Eltern  und bietet wohl auch ein Windel-Abo.

windeln.de
windeln.de

Das Startup windeln.de wurde im Jahr 2010 gegründet und hat sich, laut Eigenaussage, zu einem der führenden Onlinehändler für Baby- und Kinderprodukte in Europa entwickelt. Das Unternehmen betreibt dazu ein erfolgreiches Cross-Border E-Commerce Geschäft mit Kunden in China. Das Produktspektrum reicht von Windeln und Babynahrung über Kindermöbel, Spielzeug und Kleidung bis hin zu Babyphones und Autositzen sowie Kosmetik- und Partnerschaftsprodukte für Eltern.

Die Muttergesellschaft gibt an, rund 700.000 Kunden mit 40 verschiedenen Marken in 7 Ländern zu bedienen. Im Jahr 2019 erzielte windeln.de einen Umsatz von 82 Millionen Euro und ist derzeit an der Frankfurter Wertpapierbörse notiert. Auf der Webseite prangt ein Siegel von Trusted Shop und auf der Datenschutzseite erfährt der Besucher, dass die Betreiber den Datenschutz sehr, sehr ernst nehmen.


Anzeige

Da ziemlich zeitgleich der Sohn mit dem noch fast frisch gebackenen Enkel-Pärchen zu Besuch war, ließ sich quasi ein Fachgespräch auf dieser Ebene führen. Dieser Anbieter ist durchaus bei der Zielgruppe bekannt, wurde aber von der Familie nicht genutzt.

Datenleck durch ungesicherten Server

Ein Sicherheitsteam von SafetyDetectives unter der Leitung von Anurag Sen entdeckte kürzlich einen  anfälligen und ungesicherten Server mit mehr als 6 Terabyte Daten, der von der deutschen Firma windeln.de betrieben wird, und frei über das Internet erreichbar war. Konkret wurde der offene Server am 13. Juni 2020 entdeckt, man schätzt aber, dass der Server seit dem 11. Juni 2020 frei per Internet erreichbar war.

Der ElasticSearch-Server und seine Schwachstelle wurden bei einer routinemäßigen Überprüfung der IP-Adressen auf bestimmten Ports entdeckt. Das Sicherheitsteam stellte fest, dass der Server völlig ungesichert und ohne Passwort öffentlich zugänglich war. Das bedeutete, dass jeder, der im Besitz der IP-Adresse des Servers war, auf die gesamte Datenbank zugreifen konnte.

Die Sicherheitsforscher haben versucht, Windeln.de zu erreichen, aber niemand hat sich je bei den Forschern gemeldet. Diese haben dann das deutsche CERT kontaktiert, damit sie das Unternehmen über das Datenleck informieren konnten. Einige Tage später wurde der Server gesichert.

Was ist vom Datenleck betroffen?

Der ungesicherte ElasticSearch-Server enthielt relevante API-Protokolle von den Web- und Mobil-Sites des Unternehmens, wodurch alle Informationen des Produktions-Servers offengelegt wurden. Insgesamt wurden mehr als 6 Milliarden Datensätze (über 6,4 TByte Daten) auf einem Server in Frankreich entdeckt. Die Sicherheitsforscher stufen die den Sachverhalt als kritisch (6 von 10 Punkten) ein. Das Team stellte fest, dass verschiedene Ports den Zugriff auf verschiedene Datentranchen erlaubten.

Insgesamt enthielt die Datenbank eine Gesamtzahl von mehr als 6 Milliarden Datensätzen. Bei der Datenbank handelt es sich um einen Produktions-Server, auf dem Daten vom 24. Mai 2020 bis zum heutigen Tag gespeichert waren und der "Backlog"-Informationen einschließlich API und interne Protokolle mit Benutzer-/Kundenangaben enthielt. Hier die Informationen, die auf dem Server von windeln.de zu finden waren:

  • Vollständige Namen
  • E-Mail-Adressen
  • Vollständige Postanschriften
  • Telefonnummern
  • IP-Adressen
  • Windeln.de-Newsletter-Abonnentenliste
  • Bestell- und Kaufdetails
  • Zahlungsmethoden (ohne Zahlungsinformationen)
  • Rechnungen/Bestellungen
  • Informationen über die Kinder der Benutzer einschließlich ihrer Namen, Geburtsdaten und Geschlechtsangaben
  • Amazon OAuth API-Anmeldungstoken
  • Authentifizierungs-Token
  • Teilweise Auflistung von gehashten Passwörtern
  • Interne Protokolle mit verschiedenen Mitarbeiterangaben

Zudem gab es Protokolle, die sich auf die spanische Schwester-Website und die Marke Bebitus.com beziehen. Diese Daten umfassten auch Tokens für Website-Benutzerkonten. In den Protokollen wurde häufig auf andere Website-Marken verwiesen, wie windeln.com.cn und windeln.ch.

Das Sicherheitsteam fand rund 98.000 Einträge, darunter E-Mails, vollständige Namen und Benutzer-IP-Adressen, obwohl einige Einträge fehlten, doppelt vorhanden oder ungültig waren.  Entscheidend – und das durch das Leck entstandene Risiko erhöhend – waren gespeicherte Informationen, die sich auf Kinder bezogen, deren Eltern die Website benutzten. Die Aufzeichnungen enthielten die vollständigen Namen, Geburtsdaten und Geschlechtsangaben. Informationen über Kinder sind besonders heikel, da Cyber-Kriminelle die Beziehung zwischen Eltern und Kind ausnutzen für Betrügereien ausnutzen könnten.

Rund 1.500 Einträge enthielten E-Mails, vollständige Namen, Telefonnummern, Adressen, Zahlungsmethoden, Bestelldatum, Produktinformationen, Kunden-ID und Sprachpräferenzen.Das Sicherheitsteam fand jedoch heraus, dass die offene Datenbank im Allgemeinen nur Teilaufzeichnungen enthielt, so dass nicht alle Informationen für alle Benutzer verfügbar waren. Es wurden aber etwa 128.000 Fälle mit offen gelegten persönlichen Informationen mit Angaben zum Abonnementstatus, E-Mail-Adressen, vollständigen Namen, IP-Adressen und Bestellhistorie aus dem gesamten windeln.de-Website-Netzwerk gefunden.  Insgesamt ist es schwierig, die genaue Zahl der Betroffenen zu klären (es gibt 700.000 Kunden).  Bei einigen Nutzern waren alle Daten exponiert (wie oben aufgelistet), während andere nur in gewissem Umfang betroffen waren (vermutlich, weil sie bei der Anmeldung und beim Einkauf über windeln.de nicht alle ihre persönlichen Daten angegeben haben).

Inzwischen ist das Datenleck geschlossen. Unklar ist, ob die Betroffenen durch die Betreiber informiert wurden – und ich habe bisher auch keine Kenntnis, ob die Datenschutzaufsicht informiert wurde. Der Vorgang ist auf jeden Fall DSGVO-relevant. Der Sicherheitsbericht mit den Details lässt sich nach Veröffentlichung dieses Exklusiv-Beitrags hier abrufen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Datenleck bei Online-Anbieter windeln.de

  1. Dat Bundesferkel sagt:

    Bilde ich es mir ein, oder ist bei ungesicherten Servern stets die Nennung der ElasticSearch-Servern die Rede?

    Naja, ich weiß schon, weshalb ich auf Java-basierende Anwendungen meide, wie der Teufel das Weihwasser.

  2. Tom sagt:

    "Datenleck bei windeln.de" ist aber auch eine zu schöne Überschrift…

  3. Günter Born sagt:

    Das Thema ist jetzt wohl auch in den Mainstream-Medien angekommen ;-).

    • Dat Bundesferkel sagt:

      … und wird da im Alltagsallerlei untergehen, wie alles andere auch, denn: Der Artikel ist äußerst oberflächlich verfaßt, entspricht dem Niveau der letzten (gefühlt) 5.000 Datenlecks in öffentlichen Medien (interessiert sich niemand mehr für @ Otto Normal) und es fehlen Detail-Informationen.

      Wird wohl so ablaufen: "Du, Hilde? Schon gehört? Bei Windeln.de gab es ein Datenleck. Muahahaha. Ein Leck in der Windel!" – und weiter geht's mit der Tasse Kaffee und den Allerweltsberichten… :-/

  4. Robert Richter sagt:

    Das ging wohl in die Hose ;-) …

    SORRY, den konnte ich mir bei windeln.de nicht verkneifen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.