{"id":235546,"date":"2020-09-15T00:14:00","date_gmt":"2020-09-14T22:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235546"},"modified":"2022-11-01T14:14:52","modified_gmt":"2022-11-01T13:14:52","slug":"datenleck-bei-online-anbieter-windeln-de","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/15\/datenleck-bei-online-anbieter-windeln-de\/","title":{"rendered":"Datenleck bei Online-Anbieter windeln.de"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=15701\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Unsch\u00f6ne Geschichte, die mir bereits einige Tage vorliegt, zu der ich aber erst jetzt Details erhalten habe. Der deutsche Anbieter windeln.de hat einen unsicheren Server betrieben, so dass die pers\u00f6nlichen Daten von 700.000 Kunden abrufbar waren.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/8126f34fb7f642a0854d6d89bc978a6a\" alt=\"\" width=\"1\" height=\"1\" \/>Den ersten Hinweis gab es f\u00fcr mich, als die Kollegen von Bleeping Computer mich um eine Einsch\u00e4tzung des Anbieters windeln.de baten, ohne jedoch Details zu nennen. Der Anbieter verkauft in seinem Online-Shop so allerlei Sachen f\u00fcr junge Eltern\u00a0 und bietet wohl auch ein Windel-Abo.<\/p>\n<p><img decoding=\"async\" title=\"windeln.de\" src=\"https:\/\/i.imgur.com\/Y5Cgd7n.jpg\" alt=\"windeln.de\" \/><br \/>\nwindeln.de<\/p>\n<p>Das Startup windeln.de wurde im Jahr 2010 gegr\u00fcndet und hat sich, laut Eigenaussage, zu einem der f\u00fchrenden Onlineh\u00e4ndler f\u00fcr Baby- und Kinderprodukte in Europa entwickelt. Das Unternehmen betreibt dazu ein erfolgreiches Cross-Border E-Commerce Gesch\u00e4ft mit Kunden in China. Das Produktspektrum reicht von Windeln und Babynahrung \u00fcber Kinderm\u00f6bel, Spielzeug und Kleidung bis hin zu Babyphones und Autositzen sowie Kosmetik- und Partnerschaftsprodukte f\u00fcr Eltern.<\/p>\n<p>Die Muttergesellschaft gibt an, rund 700.000 Kunden mit 40 verschiedenen Marken in 7 L\u00e4ndern zu bedienen. Im Jahr 2019 erzielte windeln.de einen Umsatz von 82 Millionen Euro und ist derzeit an der Frankfurter Wertpapierb\u00f6rse notiert. Auf der Webseite prangt ein Siegel von Trusted Shop und auf der Datenschutzseite erf\u00e4hrt der Besucher, dass die Betreiber den Datenschutz sehr, sehr ernst nehmen.<\/p>\n<blockquote><p>Da ziemlich zeitgleich der Sohn mit dem noch fast frisch gebackenen Enkel-P\u00e4rchen zu Besuch war, lie\u00df sich quasi ein Fachgespr\u00e4ch auf dieser Ebene f\u00fchren. Dieser Anbieter ist durchaus bei der Zielgruppe bekannt, wurde aber von der Familie nicht genutzt.<\/p><\/blockquote>\n<h2>Datenleck durch ungesicherten Server<\/h2>\n<p>Ein Sicherheitsteam von <a href=\"https:\/\/www.safetydetectives.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">SafetyDetectives<\/a> unter der Leitung von <a href=\"https:\/\/twitter.com\/hak1mlukha\" target=\"_blank\" rel=\"noopener noreferrer\">Anurag Sen<\/a> entdeckte k\u00fcrzlich einen\u00a0 anf\u00e4lligen und ungesicherten Server mit mehr als 6 Terabyte Daten, der von der deutschen Firma windeln.de betrieben wird, und frei \u00fcber das Internet erreichbar war. Konkret wurde der offene Server am 13. Juni 2020 entdeckt, man sch\u00e4tzt aber, dass der Server seit dem 11. Juni 2020 frei per Internet erreichbar war.<\/p>\n<p>Der ElasticSearch-Server und seine Schwachstelle wurden bei einer routinem\u00e4\u00dfigen \u00dcberpr\u00fcfung der IP-Adressen auf bestimmten Ports entdeckt. Das Sicherheitsteam stellte fest, dass der Server v\u00f6llig ungesichert und ohne Passwort \u00f6ffentlich zug\u00e4nglich war. Das bedeutete, dass jeder, der im Besitz der IP-Adresse des Servers war, auf die gesamte Datenbank zugreifen konnte.<\/p>\n<p>Die Sicherheitsforscher haben versucht, Windeln.de zu erreichen, aber niemand hat sich je bei den Forschern gemeldet. Diese haben dann das deutsche CERT kontaktiert, damit sie das Unternehmen \u00fcber das Datenleck informieren konnten. Einige Tage sp\u00e4ter wurde der Server gesichert.<\/p>\n<h2>Was ist vom Datenleck betroffen?<\/h2>\n<p>Der ungesicherte ElasticSearch-Server enthielt relevante API-Protokolle von den Web- und Mobil-Sites des Unternehmens, wodurch alle Informationen des Produktions-Servers offengelegt wurden. Insgesamt wurden mehr als 6 Milliarden Datens\u00e4tze (\u00fcber 6,4 TByte Daten) auf einem Server in Frankreich entdeckt. Die Sicherheitsforscher stufen die den Sachverhalt als kritisch (6 von 10 Punkten) ein. Das Team stellte fest, dass verschiedene Ports den Zugriff auf verschiedene Datentranchen erlaubten.<\/p>\n<p>Insgesamt enthielt die Datenbank eine Gesamtzahl von mehr als 6 Milliarden Datens\u00e4tzen. Bei der Datenbank handelt es sich um einen Produktions-Server, auf dem Daten vom 24. Mai 2020 bis zum heutigen Tag gespeichert waren und der \"Backlog\"-Informationen einschlie\u00dflich API und interne Protokolle mit Benutzer-\/Kundenangaben enthielt. Hier die Informationen, die auf dem Server von windeln.de zu finden waren:<\/p>\n<ul>\n<li>Vollst\u00e4ndige Namen<\/li>\n<li>E-Mail-Adressen<\/li>\n<li>Vollst\u00e4ndige Postanschriften<\/li>\n<li>Telefonnummern<\/li>\n<li>IP-Adressen<\/li>\n<li>Windeln.de-Newsletter-Abonnentenliste<\/li>\n<li>Bestell- und Kaufdetails<\/li>\n<li>Zahlungsmethoden (ohne Zahlungsinformationen)<\/li>\n<li>Rechnungen\/Bestellungen<\/li>\n<li>Informationen \u00fcber die Kinder der Benutzer einschlie\u00dflich ihrer Namen, Geburtsdaten und Geschlechtsangaben<\/li>\n<li>Amazon OAuth API-Anmeldungstoken<\/li>\n<li>Authentifizierungs-Token<\/li>\n<li>Teilweise Auflistung von gehashten Passw\u00f6rtern<\/li>\n<li>Interne Protokolle mit verschiedenen Mitarbeiterangaben<\/li>\n<\/ul>\n<p>Zudem gab es Protokolle, die sich auf die spanische Schwester-Website und die Marke Bebitus.com beziehen. Diese Daten umfassten auch Tokens f\u00fcr Website-Benutzerkonten. In den Protokollen wurde h\u00e4ufig auf andere Website-Marken verwiesen, wie windeln.com.cn und windeln.ch.<\/p>\n<p>Das Sicherheitsteam fand rund 98.000 Eintr\u00e4ge, darunter E-Mails, vollst\u00e4ndige Namen und Benutzer-IP-Adressen, obwohl einige Eintr\u00e4ge fehlten, doppelt vorhanden oder ung\u00fcltig waren.\u00a0 Entscheidend &#8211; und das durch das Leck entstandene Risiko erh\u00f6hend &#8211; waren gespeicherte Informationen, die sich auf Kinder bezogen, deren Eltern die Website benutzten. Die Aufzeichnungen enthielten die vollst\u00e4ndigen Namen, Geburtsdaten und Geschlechtsangaben. Informationen \u00fcber Kinder sind besonders heikel, da Cyber-Kriminelle die Beziehung zwischen Eltern und Kind ausnutzen f\u00fcr Betr\u00fcgereien ausnutzen k\u00f6nnten.<\/p>\n<p>Rund 1.500 Eintr\u00e4ge enthielten E-Mails, vollst\u00e4ndige Namen, Telefonnummern, Adressen, Zahlungsmethoden, Bestelldatum, Produktinformationen, Kunden-ID und Sprachpr\u00e4ferenzen.Das Sicherheitsteam fand jedoch heraus, dass die offene Datenbank im Allgemeinen nur Teilaufzeichnungen enthielt, so dass nicht alle Informationen f\u00fcr alle Benutzer verf\u00fcgbar waren. Es wurden aber etwa 128.000 F\u00e4lle mit offen gelegten pers\u00f6nlichen Informationen mit Angaben zum Abonnementstatus, E-Mail-Adressen, vollst\u00e4ndigen Namen, IP-Adressen und Bestellhistorie aus dem gesamten windeln.de-Website-Netzwerk gefunden.\u00a0 Insgesamt ist es schwierig, die genaue Zahl der Betroffenen zu kl\u00e4ren (es gibt 700.000 Kunden).\u00a0 Bei einigen Nutzern waren alle Daten exponiert (wie oben aufgelistet), w\u00e4hrend andere nur in gewissem Umfang betroffen waren (vermutlich, weil sie bei der Anmeldung und beim Einkauf \u00fcber windeln.de nicht alle ihre pers\u00f6nlichen Daten angegeben haben).<\/p>\n<p>Inzwischen ist das Datenleck geschlossen. Unklar ist, ob die Betroffenen durch die Betreiber informiert wurden &#8211; und ich habe bisher auch keine Kenntnis, ob die Datenschutzaufsicht informiert wurde. Der Vorgang ist auf jeden Fall DSGVO-relevant. Der Sicherheitsbericht mit den Details l\u00e4sst sich nach Ver\u00f6ffentlichung dieses Exklusiv-Beitrags <a href=\"https:\/\/www.safetydetectives.com\/blog\/windeln-leak-report\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier abrufen<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Unsch\u00f6ne Geschichte, die mir bereits einige Tage vorliegt, zu der ich aber erst jetzt Details erhalten habe. Der deutsche Anbieter windeln.de hat einen unsicheren Server betrieben, so dass die pers\u00f6nlichen Daten von 700.000 Kunden abrufbar waren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5535,4328],"class_list":["post-235546","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenleck","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235546","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235546"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235546\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235546"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235546"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235546"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}