{"id":255304,"date":"2021-07-01T16:14:34","date_gmt":"2021-07-01T14:14:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255304"},"modified":"2023-08-17T15:11:57","modified_gmt":"2023-08-17T13:11:57","slug":"kundendaten-von-online-marktpltzen-otto-kaufland-check24-einsehbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/01\/kundendaten-von-online-marktpltzen-otto-kaufland-check24-einsehbar\/","title":{"rendered":"Kundendaten von Online-Marktplätzen (Otto, Kaufland, Check24 …) einsehbar"},"content":{"rendered":"

\"SicherheitEin schlecht gesicherter Zugang des Dienstleisters Modern Solution hat wohl dazu gef\u00fchrt, dass H\u00e4ndlerdaten (Bestellungen, Adressen und auch Kontodaten) f\u00fcr Dritte \u00fcber das Internet abrufbar bzw. einsehbar waren. Zu den Kunden des Dienstleisters z\u00e4hlen nach meinen Informationen auch Check24, Otto, Rakuten oder das inzwischen zur Schwarz-Gruppe geh\u00f6rende Kaufland.<\/p>\n

<\/p>\n

\"\"Mark Steier hat bereits am 24. Juni 2021 im Artikel Modern Solution Datenleck: ALLE Plattform-Endkundendaten einsehbar<\/a> auf die Implikationen hingewiesen, nachdem er einen Tag vorher den Artikel zur Sicherheitsl\u00fccke<\/a> online gestellt hat. Ich bin \u00fcber Spiegel Online<\/a> auf die betreffende Information aufmerksam geworden, die vor allem kleine H\u00e4ndler betrifft, die Online-Marktpl\u00e4tze der nachfolgend genannten Plattformen zum Einkauf nutzen.<\/p>\n

Datenbankverbindung zu externem Server<\/h2>\n

Bei der Installation einer (H\u00e4ndler-) Software fiel dem IT-Spezialist auf, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde. Da die f\u00fcr den Datenbankzugriff erforderlichen Zugangsdaten von einer Firewall des Systems protokolliert wurden, lie\u00dfen sich Details zu dieser Verbindung rekonstruieren.<\/p>\n

Die Spur f\u00fchrte zu einem Server der Modern Solution GmbH & Co. KG, auf dem mehrere Datenbanken vorhanden und einsehbar waren. Die Modern Solution GmbH & Co. KG ist wohl Dienstleister f\u00fcr die Online-Plattformen der nachfolgend genannten Anbieter. Auff\u00e4llig war dabei eine Datenbank f\u00fcr eine 2017 aufgesetzt JTL-Shop-Installation des Dienstleister, die eine Tabelle tkunde<\/em> aufwies. In dieser Tabelle fanden sich H\u00e4ndlerdaten, in anderen Datenbanken waren Informationen zur Kundenkommunikation einsehbar. Durch die installierte Software lie\u00df sich auf die Inhalte der Datenbanken zugreifen. Zitat aus dem WortFilter-Artikel:<\/p>\n

Die H\u00e4ndlersysteme haben einen Schreib-\/Lese-Zugriff auf die mySQL-Datenbank. Alle H\u00e4ndler haben die Zugangsdaten, die im Klartext auslesbar waren. Dadurch konnte auch ohne die Modern-Solution-Anwendung und mit einem beliebigen SQL-Client auf den Server bzw. die Datenbank zugegriffen werden.<\/p><\/blockquote>\n

In Kurz: Vom Modern Solution System wurden die Zugangsdaten f\u00fcr die Datenbank (bei der Software-Installation) den H\u00e4ndlern der nachfolgend genannten Handelsplattformen im Klartext \u00fcbermittelt. Mit diesen Zugangsdaten, so schreibt Wortfilter.de,\u00a0 l\u00e4sst sich ein H\u00e4ndlersystem vollst\u00e4ndig \u00fcbernehmen, manipulieren oder auslesen.<\/p>\n

Endkundendaten einsehbar<\/h2>\n

Bei einer \u00dcberpr\u00fcfung der Datenbanken konnte Steier dann feststellen, dass praktisch alle Daten von Endkunden diverser Shops samt Transaktionen seit dem Jahr 2018 \u00fcber die SQL-Datenbanken einsehbar waren. Im Blog-Beitrag hier<\/a> sind folgende Shops als betroffen aufgelistet.<\/p>\n