[English]Unschöne Geschichte, die sich beim Online-Anbieter brillen.de ereignet hat. Durch einen Konfigurationsfehler standen die Daten von 3,5 Millionen europäischen Kunden offen im Internet. Man konnte also sehen, wer dort Brillen gekauft hat. Der Anbieter hat das Leck nach einer Meldung stillschweigend geschlossen.
Anzeige
Sicherheitsforscher stoßen auf Datenbank
Die Leute von Cybernews hatten mich bereits am gestrigen Donnerstag, den 17. Oktober 2024, über den Datenschutz-Vorfall informiert. Mit Daten von 3,5 Millionen europäischen Kunden, die für Dritte abrufbar waren, ist das ein größeres Datenleck.
Offener Eleastic Server-Cluster im Internet
Am 8. August 2024 entdeckten die Sicherheitsforscher von Cybernews ein Elasticsearch-Cluster, welches aus dem Internet zugreifbar war. Elasticsearch ist eine Suchmaschine, mit der Benutzer große Datenmengen speichern, durchsuchen und analysieren können. Das ist kein Problem, sofern diese Zugriffe durch eine Benutzerauthentifizierung abgesichert sind.
Im aktuellen Fall fehlte aber diese Authentifizierung, so dass durch die fehlende Authentifizierung die Daten für Internetnutzer und zwangsläufig auch für Bedrohungsakteure, die das Internet ständig nach öffentlich zugänglichen Datenbanken durchsuchen, zugänglich sind.
Kundendaten von brillen.de
Ein Blick in die Datensätze des Elastic Search-Clusters zeigte, dass dieses zum deutschen Online Brillenhändler Brillen (brillen.de) gehörte. Die Sicherheitsforscher fanden über 3,5 Millionen Datensätze mit Kundendaten.
Anzeige
Das so bestehende Datenleck betraf über 3,5 Millionen Kunden aus ganz Europa, die irgend etwas bei brillen.de bestellt hatten. In den Datensätzen ließen sich die vollständige Namen der Kunden, deren Anschriften, angegebene E-Mail-Adressen oder (Handy-)Nummern, das Geschlecht und das Geburtsdatum ablesen. Hinzu kommen detaillierte Bestellinformationen, Zahlungsbeträge, sowie Rechnungsnummern und -daten.
In Deutschland betraf dies 2.464.579 Kundendaten. Da brillen.de auch in Spanien aktiv ist, fanden sich 961.000 Datensätze spanischer Kunden. Und aus Österreich waren 90.000 Kundendatensätze betroffen.
Anbieter schließt Datenleck
Die Sicherheitsforscher haben dann den Online-Anbieter brillen.de über ihre Entdeckung in Kenntnis gesetzt, wie sie hier schreiben. Das Unternehmen reagierte sofort mit der Sperrung des Zugangs zu den Daten. Der Elastic Search Cluster wurde zwar bezüglich der Erreichbarkeit per Internet entfernt. Auf deren Internetseite habe ich aber keine Information über ein Datenleck gefunden, man hat wohl stillschweigend korrigiert.
Aktuell bleibt es unklar, wie lange der Cluster offen war. Auch bleibt das Ausmaß des Datenlecks unklar, weil nicht bekannt ist, ob und in welchem Umfang öffentliche Suchmaschinen die Daten indiziert haben. Sobald die Daten indiziert sind, können sie von jedermann eingesehen werden, was eine Goldgrube für Bedrohungsakteure darstellt. Bei einer stichprobenartigen Suche habe ich keine Treffer erzielen können.
Ergänzung: heise hat beim Datenschutzbeauftragten von brillen.de und beim Landesbeauftragten für Datenschutz und Informationsfreiheit von Brandenburg nachgefragt – dort weiß man von nix. Die 72 Stunden Meldefrist sind ja lange vorbei. Jemand aus der Leserschaft Kunde bei brillen.de, der benachrichtigt wurde?
Anzeige
Normalerweise müsste eine Anzeige raus, Datenschutz Strafen hoch sein und auch durchgesetzt werden. Ansonsten ist das alles nur Papierwerk (DSGBO)
Und da in den Bestellungen von Brillen die Sehstärken enthalten waren, handelt es sich dabei um besonders schützenswerte Gesundheitsdaten.
Bitte wegmachen diesen Laden, die Verantwortlichen bitte so abstrafen, dass diese nie mehr wieder irgendwas mit Internet und Plattform und Daten machen werden.