[English]Unschöne Geschichte, die sich beim Online-Anbieter brillen.de ereignet hat. Durch einen Konfigurationsfehler standen die Daten von 3,5 Millionen europäischen Kunden offen im Internet. Man konnte also sehen, wer dort Brillen gekauft hat. Der Anbieter hat das Leck nach einer Meldung stillschweigend geschlossen.
Anzeige
Sicherheitsforscher stoßen auf Datenbank
Die Leute von Cybernews hatten mich bereits am gestrigen Donnerstag, den 17. Oktober 2024, über den Datenschutz-Vorfall informiert. Mit Daten von 3,5 Millionen europäischen Kunden, die für Dritte abrufbar waren, ist das ein größeres Datenleck.
Offener Eleastic Server-Cluster im Internet
Am 8. August 2024 entdeckten die Sicherheitsforscher von Cybernews ein Elasticsearch-Cluster, welches aus dem Internet zugreifbar war. Elasticsearch ist eine Suchmaschine, mit der Benutzer große Datenmengen speichern, durchsuchen und analysieren können. Das ist kein Problem, sofern diese Zugriffe durch eine Benutzerauthentifizierung abgesichert sind.
Im aktuellen Fall fehlte aber diese Authentifizierung, so dass durch die fehlende Authentifizierung die Daten für Internetnutzer und zwangsläufig auch für Bedrohungsakteure, die das Internet ständig nach öffentlich zugänglichen Datenbanken durchsuchen, zugänglich sind.
Kundendaten von brillen.de
Ein Blick in die Datensätze des Elastic Search-Clusters zeigte, dass dieses zum deutschen Online Brillenhändler Brillen (brillen.de) gehörte. Die Sicherheitsforscher fanden über 3,5 Millionen Datensätze mit Kundendaten.
Anzeige
Das so bestehende Datenleck betraf über 3,5 Millionen Kunden aus ganz Europa, die irgend etwas bei brillen.de bestellt hatten. In den Datensätzen ließen sich die vollständige Namen der Kunden, deren Anschriften, angegebene E-Mail-Adressen oder (Handy-)Nummern, das Geschlecht und das Geburtsdatum ablesen. Hinzu kommen detaillierte Bestellinformationen, Zahlungsbeträge, sowie Rechnungsnummern und -daten.
In Deutschland betraf dies 2.464.579 Kundendaten. Da brillen.de auch in Spanien aktiv ist, fanden sich 961.000 Datensätze spanischer Kunden. Und aus Österreich waren 90.000 Kundendatensätze betroffen.
Anbieter schließt Datenleck
Die Sicherheitsforscher haben dann den Online-Anbieter brillen.de über ihre Entdeckung in Kenntnis gesetzt, wie sie hier schreiben. Das Unternehmen reagierte sofort mit der Sperrung des Zugangs zu den Daten. Der Elastic Search Cluster wurde zwar bezüglich der Erreichbarkeit per Internet entfernt. Auf deren Internetseite habe ich aber keine Information über ein Datenleck gefunden, man hat wohl stillschweigend korrigiert.
Aktuell bleibt es unklar, wie lange der Cluster offen war. Auch bleibt das Ausmaß des Datenlecks unklar, weil nicht bekannt ist, ob und in welchem Umfang öffentliche Suchmaschinen die Daten indiziert haben. Sobald die Daten indiziert sind, können sie von jedermann eingesehen werden, was eine Goldgrube für Bedrohungsakteure darstellt. Bei einer stichprobenartigen Suche habe ich keine Treffer erzielen können.
Ergänzung: heise hat beim Datenschutzbeauftragten von brillen.de und beim Landesbeauftragten für Datenschutz und Informationsfreiheit von Brandenburg nachgefragt – dort weiß man von nix. Die 72 Stunden Meldefrist sind ja lange vorbei. Jemand aus der Leserschaft Kunde bei brillen.de, der benachrichtigt wurde?
Anzeige
Normalerweise müsste eine Anzeige raus, Datenschutz Strafen hoch sein und auch durchgesetzt werden. Ansonsten ist das alles nur Papierwerk (DSGBO)
Und da in den Bestellungen von Brillen die Sehstärken enthalten waren, handelt es sich dabei um besonders schützenswerte Gesundheitsdaten.
Bitte wegmachen diesen Laden, die Verantwortlichen bitte so abstrafen, dass diese nie mehr wieder irgendwas mit Internet und Plattform und Daten machen werden.
Um Tomas zu bestätigen: DSGVO, zB Erwägungsgrund 35: "Informationen über den früheren, gegenwärtigen und künftigen körperlichen [..] Gesundheitszustand der betroffenen Person [..]".
Neben fast üblichen Daten stolpert man im Datasample (line 404) bei Cybernews) über ein weitere Attribute: "customer_rank". Hier lässt sich ggf. eine "automatisierte Entscheidungsfindung" zB im Sinne eines Profilings der Kunden ableiten (vgl Art. 22 DSGVO). Die Metrik und Folgen wäre offen zu legen, ich tippe auf ein Kunden-Umsatz-Ranking (leider sieht man den VAR-Type nicht). Vom Attribut "passport in line 407" einmal ganz zu schweigen – was macht ein Brillenverkäufer mit Ausweis-Nummer oder Daten?
Da verkaufen die nun schon Brillen aber bei der eigenen IT sehen sie nicht so genau hin. Evtl. brauchen die Admins ja auch mal ne Brille.
Unfassbar und keiner ahndet das! Da freut sich ja Herr Christian Solmecke über neue Mandanten!
Nö, eine Info von Brillen.de über das Leck an Kunden gab es nicht, zumindest in nicht meinem Fall. Habe vor nicht allzu langer Zeit dort eine Brille anfertigen lassen (Arbeitsplatzbrille), der Anbieter wurde mir vom Arbeitgeber (Rahmenvertrag) auf's Auge gedrückt, freiwillig hätte ich den niemals ausgewählt.
Allein die Kommunikation über deren Website war ein Graus, nach Lieferung der Brille wurde ich noch über Monate zugespammt mit der Aufforderung endlich meine Brille abzuholen. Der "wunderbare" Bot für den "Service Chat"auf der Website war dumm wie Brot, erst nach mehrmaliger Androhung den zuständigen DSB zu informieren wurde das durch den "Support" von brillen.de abgestellt. Einmal und nie wieder, soviel ist sicher.