[English]Unschöne Geschichte, die mir bereits einige Tage vorliegt, zu der ich aber erst jetzt Details erhalten habe. Der deutsche Anbieter windeln.de hat einen unsicheren Server betrieben, so dass die persönlichen Daten von 700.000 Kunden abrufbar waren.
Anzeige
Den ersten Hinweis gab es für mich, als die Kollegen von Bleeping Computer mich um eine Einschätzung des Anbieters windeln.de baten, ohne jedoch Details zu nennen. Der Anbieter verkauft in seinem Online-Shop so allerlei Sachen für junge Eltern und bietet wohl auch ein Windel-Abo.
windeln.de
Das Startup windeln.de wurde im Jahr 2010 gegründet und hat sich, laut Eigenaussage, zu einem der führenden Onlinehändler für Baby- und Kinderprodukte in Europa entwickelt. Das Unternehmen betreibt dazu ein erfolgreiches Cross-Border E-Commerce Geschäft mit Kunden in China. Das Produktspektrum reicht von Windeln und Babynahrung über Kindermöbel, Spielzeug und Kleidung bis hin zu Babyphones und Autositzen sowie Kosmetik- und Partnerschaftsprodukte für Eltern.
Die Muttergesellschaft gibt an, rund 700.000 Kunden mit 40 verschiedenen Marken in 7 Ländern zu bedienen. Im Jahr 2019 erzielte windeln.de einen Umsatz von 82 Millionen Euro und ist derzeit an der Frankfurter Wertpapierbörse notiert. Auf der Webseite prangt ein Siegel von Trusted Shop und auf der Datenschutzseite erfährt der Besucher, dass die Betreiber den Datenschutz sehr, sehr ernst nehmen.
Anzeige
Da ziemlich zeitgleich der Sohn mit dem noch fast frisch gebackenen Enkel-Pärchen zu Besuch war, ließ sich quasi ein Fachgespräch auf dieser Ebene führen. Dieser Anbieter ist durchaus bei der Zielgruppe bekannt, wurde aber von der Familie nicht genutzt.
Datenleck durch ungesicherten Server
Ein Sicherheitsteam von SafetyDetectives unter der Leitung von Anurag Sen entdeckte kürzlich einen anfälligen und ungesicherten Server mit mehr als 6 Terabyte Daten, der von der deutschen Firma windeln.de betrieben wird, und frei über das Internet erreichbar war. Konkret wurde der offene Server am 13. Juni 2020 entdeckt, man schätzt aber, dass der Server seit dem 11. Juni 2020 frei per Internet erreichbar war.
Der ElasticSearch-Server und seine Schwachstelle wurden bei einer routinemäßigen Überprüfung der IP-Adressen auf bestimmten Ports entdeckt. Das Sicherheitsteam stellte fest, dass der Server völlig ungesichert und ohne Passwort öffentlich zugänglich war. Das bedeutete, dass jeder, der im Besitz der IP-Adresse des Servers war, auf die gesamte Datenbank zugreifen konnte.
Die Sicherheitsforscher haben versucht, Windeln.de zu erreichen, aber niemand hat sich je bei den Forschern gemeldet. Diese haben dann das deutsche CERT kontaktiert, damit sie das Unternehmen über das Datenleck informieren konnten. Einige Tage später wurde der Server gesichert.
Was ist vom Datenleck betroffen?
Der ungesicherte ElasticSearch-Server enthielt relevante API-Protokolle von den Web- und Mobil-Sites des Unternehmens, wodurch alle Informationen des Produktions-Servers offengelegt wurden. Insgesamt wurden mehr als 6 Milliarden Datensätze (über 6,4 TByte Daten) auf einem Server in Frankreich entdeckt. Die Sicherheitsforscher stufen die den Sachverhalt als kritisch (6 von 10 Punkten) ein. Das Team stellte fest, dass verschiedene Ports den Zugriff auf verschiedene Datentranchen erlaubten.
Insgesamt enthielt die Datenbank eine Gesamtzahl von mehr als 6 Milliarden Datensätzen. Bei der Datenbank handelt es sich um einen Produktions-Server, auf dem Daten vom 24. Mai 2020 bis zum heutigen Tag gespeichert waren und der "Backlog"-Informationen einschließlich API und interne Protokolle mit Benutzer-/Kundenangaben enthielt. Hier die Informationen, die auf dem Server von windeln.de zu finden waren:
- Vollständige Namen
- E-Mail-Adressen
- Vollständige Postanschriften
- Telefonnummern
- IP-Adressen
- Windeln.de-Newsletter-Abonnentenliste
- Bestell- und Kaufdetails
- Zahlungsmethoden (ohne Zahlungsinformationen)
- Rechnungen/Bestellungen
- Informationen über die Kinder der Benutzer einschließlich ihrer Namen, Geburtsdaten und Geschlechtsangaben
- Amazon OAuth API-Anmeldungstoken
- Authentifizierungs-Token
- Teilweise Auflistung von gehashten Passwörtern
- Interne Protokolle mit verschiedenen Mitarbeiterangaben
Zudem gab es Protokolle, die sich auf die spanische Schwester-Website und die Marke Bebitus.com beziehen. Diese Daten umfassten auch Tokens für Website-Benutzerkonten. In den Protokollen wurde häufig auf andere Website-Marken verwiesen, wie windeln.com.cn und windeln.ch.
Das Sicherheitsteam fand rund 98.000 Einträge, darunter E-Mails, vollständige Namen und Benutzer-IP-Adressen, obwohl einige Einträge fehlten, doppelt vorhanden oder ungültig waren. Entscheidend – und das durch das Leck entstandene Risiko erhöhend – waren gespeicherte Informationen, die sich auf Kinder bezogen, deren Eltern die Website benutzten. Die Aufzeichnungen enthielten die vollständigen Namen, Geburtsdaten und Geschlechtsangaben. Informationen über Kinder sind besonders heikel, da Cyber-Kriminelle die Beziehung zwischen Eltern und Kind ausnutzen für Betrügereien ausnutzen könnten.
Rund 1.500 Einträge enthielten E-Mails, vollständige Namen, Telefonnummern, Adressen, Zahlungsmethoden, Bestelldatum, Produktinformationen, Kunden-ID und Sprachpräferenzen.Das Sicherheitsteam fand jedoch heraus, dass die offene Datenbank im Allgemeinen nur Teilaufzeichnungen enthielt, so dass nicht alle Informationen für alle Benutzer verfügbar waren. Es wurden aber etwa 128.000 Fälle mit offen gelegten persönlichen Informationen mit Angaben zum Abonnementstatus, E-Mail-Adressen, vollständigen Namen, IP-Adressen und Bestellhistorie aus dem gesamten windeln.de-Website-Netzwerk gefunden. Insgesamt ist es schwierig, die genaue Zahl der Betroffenen zu klären (es gibt 700.000 Kunden). Bei einigen Nutzern waren alle Daten exponiert (wie oben aufgelistet), während andere nur in gewissem Umfang betroffen waren (vermutlich, weil sie bei der Anmeldung und beim Einkauf über windeln.de nicht alle ihre persönlichen Daten angegeben haben).
Inzwischen ist das Datenleck geschlossen. Unklar ist, ob die Betroffenen durch die Betreiber informiert wurden – und ich habe bisher auch keine Kenntnis, ob die Datenschutzaufsicht informiert wurde. Der Vorgang ist auf jeden Fall DSGVO-relevant. Der Sicherheitsbericht mit den Details lässt sich nach Veröffentlichung dieses Exklusiv-Beitrags hier abrufen.
Anzeige
Bilde ich es mir ein, oder ist bei ungesicherten Servern stets die Nennung der ElasticSearch-Servern die Rede?
Naja, ich weiß schon, weshalb ich auf Java-basierende Anwendungen meide, wie der Teufel das Weihwasser.
ElasticSearch-Server scheinen eine dankbare Quelle für so etwas zu sein – das ist schon richtig erkannt. Irgend einen Vorteil dürfte das Zeugs für die Nutzer haben, sonst würden die es nicht einsetzen.
"Datenleck bei windeln.de" ist aber auch eine zu schöne Überschrift…
Das Thema ist jetzt wohl auch in den Mainstream-Medien angekommen ;-).
… und wird da im Alltagsallerlei untergehen, wie alles andere auch, denn: Der Artikel ist äußerst oberflächlich verfaßt, entspricht dem Niveau der letzten (gefühlt) 5.000 Datenlecks in öffentlichen Medien (interessiert sich niemand mehr für @ Otto Normal) und es fehlen Detail-Informationen.
Wird wohl so ablaufen: "Du, Hilde? Schon gehört? Bei Windeln.de gab es ein Datenleck. Muahahaha. Ein Leck in der Windel!" – und weiter geht's mit der Tasse Kaffee und den Allerweltsberichten… :-/
Das ging wohl in die Hose ;-) …
SORRY, den konnte ich mir bei windeln.de nicht verkneifen.