{"id":261683,"date":"2022-01-18T00:03:00","date_gmt":"2022-01-17T23:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261683"},"modified":"2023-08-17T15:14:43","modified_gmt":"2023-08-17T13:14:43","slug":"datenleck-bei-deutschen-shopping-plattformen-700-000-kundendaten-online","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/18\/datenleck-bei-deutschen-shopping-plattformen-700-000-kundendaten-online\/","title":{"rendered":"Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline; border-width: 0px;\" title=\"Recht\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2018\/11\/Para.jpg\" alt=\"Paragraph\" width=\"91\" height=\"88\" align=\"left\" border=\"0\" \/>Deutsche Online-Plattformen und Marktpl\u00e4tze sind anf\u00e4llig f\u00fcr Datenklau. Kaufdaten von 700.000 deutschen Kunden dieser Marktpl\u00e4tze waren online einsehbar. Die Betroffenen sind bisher nicht informiert worden. Das Wirtschaftsmagazin <em>Plusminus<\/em> berichtete die Tage \u00fcber diese Sicherheitsl\u00fccke, die den Kunden bislang weitgehend unbekannt ist. Ich hatte den Beitrag gesehen und sofort klingelte bei mir etwas. Denn ich glaube, \u00fcber diesen Vorfall hier im Blog berichtet zu haben. Daher ein Abriss des Plusminus-Beitrags, und das, was ich hier im Blog zum Fall berichtet hatte.<\/p>\n<p><!--more--><\/p>\n<h2>Ein Bericht des SWR<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/088cf2c64efb4b59bc4c8dd83274e5f5\" alt=\"\" width=\"1\" height=\"1\" \/>Es ist ein dickes Ding, welches die Betroffenen sprachlos macht. Die Daten (Adressen, Bankverbindungen, Bestellungen und Handynummern) von mehr als 700.000 Kundinnen und Kunden aus ganz Deutschland\u00a0 waren frei im Netz zug\u00e4nglich. Nicht erst jetzt, sondern \u00fcber mehrere Jahre lang. Betroffen von diesem Datenleck sind Kunden, die auf den Plattformen von Otto, Kaufland, Mediamarkt und anderen eingekauft haben. Hier ist die Liste der betreffenden Anbieter:<\/p>\n<ul>\n<li>Otto<\/li>\n<li>Kaufland (fr\u00fcher real)<\/li>\n<li>Mediamarkt<\/li>\n<li>Check24<\/li>\n<li>Tyre24<\/li>\n<li>idealo<\/li>\n<li>hood<\/li>\n<li>Crowdfox<\/li>\n<\/ul>\n<p>Die Sicherheitsl\u00fccke wurde bereits vor Monaten bei einem Schnittstellen-Dienstleister, \u00fcber den die Marktplatzh\u00e4ndler mit den Online-Shopping-Plattformen verbunden sind, entdeckt. Ich hatte das Ganze durch Zufall in der Fernsehsendung Plusminus gesehen (siehe <a href=\"https:\/\/web.archive.org\/web\/20220925181632\/https:\/\/www.daserste.de\/information\/wirtschaft-boerse\/plusminus\/sendung\/swr\/datenleck-kundendaten-onlinemarkt-100.html\" target=\"_blank\" rel=\"noopener\">hier<\/a>), der Beitrag ist aber <a href=\"https:\/\/web.archive.org\/web\/20220601124649\/https:\/\/www.swrfernsehen.de\/marktcheck\/datenklau-plusminus-102.html\" target=\"_blank\" rel=\"noopener\">beim SWR abrufbar<\/a>.<\/p>\n<h2>Kundeninformation Fehlanzeige<\/h2>\n<p>Obwohl das Ganze bereits einige Monate bekannt ist, wurden die Betroffenen bisher nicht informiert. Weder die Anbieter der Online-Shops, noch der Betreiber des Online-Marktplatzes, f\u00fchlen sich dazu verantwortlich. Im <a href=\"https:\/\/web.archive.org\/web\/20220601124649\/https:\/\/www.swrfernsehen.de\/marktcheck\/datenklau-plusminus-102.html\" target=\"_blank\" rel=\"noopener\">SWR-Textbeitrag<\/a> hei\u00dft es, dass die Plattformen darauf hinweisen, dass sie datenschutzrechtlich f\u00fcr die Marktpl\u00e4tze nicht verantwortlich seien.<\/p>\n<p>Kaufland, einer der Betroffenen, erkl\u00e4rt gegen\u00fcber Plusminus, man sei nur \"Vermittler zwischen Kunden und H\u00e4ndlern\". Denn H\u00e4ndler k\u00f6nnen ihre Waren \u00fcber den Shop von Kaufland (oder einen der anderen oben genannten Anbieter) verkaufen. Laut Kaufland sind die H\u00e4ndler die direkten Vertragspartner der Kunden. Daher sind diese auch f\u00fcr den Schutz der Kundendaten verantwortlich. Weder die Unternehmen, die die Shop-Plattformen bereitstellen, noch die Plattformbetreiber f\u00fcr diese Infrastruktur sehen sich f\u00fcr die Information der betroffenen Kunden zust\u00e4ndig.<\/p>\n<p>F\u00fcr den Datenschutzexperten und Ex Bundesdatenschutzbeauftragten, Dr. Thilo Weichert, ist das ein Skandal. Auch der Landesdatenschutzbeauftragten von Baden-W\u00fcrttemberg, Stefan Brink, ist dies, laut SWR-Artikel ein \"schwerwiegender und skandal\u00f6ser Vorgang\".<\/p>\n<h2>Bin ich betroffen?<\/h2>\n<p>Es besteht die Bef\u00fcrchtung, dass die Daten der Kunden bereits im Darknet von Kriminellen f\u00fcr Phishing-Mails und Identit\u00e4tsdiebst\u00e4hle genutzt worden sein k\u00f6nnten. Wer auf den obigen Plattformen schon mal bestellt hat, kann \u00fcber die Plattform <a href=\"https:\/\/www.leckchecker.wortfilter.de\/\" target=\"_blank\" rel=\"noopener\">wortfilter.de<\/a> pr\u00fcfen, ob er vom Datenleck betroffen ist.<\/p>\n<p><a href=\"https:\/\/www.leckchecker.wortfilter.de\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/Va8CrNH.png\" \/><\/a><\/p>\n<p>Im SWR-Artikel von Marktcheck r\u00e4t der Landesdatenschutzbeauftragte von Baden-W\u00fcrttemberg, Stefan Brink, allen Betroffenen, ihr Bankkonto im Auge zu behalten und auf verd\u00e4chtige Abbuchungen zu pr\u00fcfen. Nat\u00fcrlich gelten die \u00fcblichen Vorsichtsma\u00dfnahmen im Hinblick auf Phishing-E-Mails, z.B., wenn angeblich der Online-Shop den Kunden anschreibt. Hier sollte man nicht auf Links im Mailtext klicken und die Mail l\u00f6schen, hei\u00dft es. Zudem gibt es den Tipp, seine eigene E-Mail-Adresse beim <a href=\"https:\/\/sec.hpi.de\/ilc\/search?lang=de\" target=\"_blank\" rel=\"noopener\">Identity Leak Checker<\/a> des Hasso-Plattner-Instituts oder auf der Webseite <a href=\"https:\/\/haveibeenpwned.com\/\" target=\"_blank\" rel=\"noopener\">Have I Been Pwned?<\/a> zu \u00fcberpr\u00fcfen, ob diese in Datenlecks bereits auftaucht.<\/p>\n<h2>Der Skandal hinter dem Skandal<\/h2>\n<p>Als ich den Beitrag bei Plusminus sah, klingelte was im Hinterkopf. Es wurde im SWR-Beitrag mit keinem Wort erw\u00e4hnt, aber \u00fcber die Sicherheitsl\u00fccke hatte ich &#8211; zumindest meiner Interpretation nach &#8211; hier im Blog im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/07\/01\/kundendaten-von-online-marktpltzen-otto-kaufland-check24-einsehbar\/\">Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a> berichtet.<\/p>\n<p>Mark Steier, der Betreiber von Wortfilter, hatte bereits am 24. Juni 2021 im Artikel <a href=\"https:\/\/wortfilter.de\/modern-solution-datenleck-alle-plattform-endkundendaten-einsehbar\/\" target=\"_blank\" rel=\"noopener\">Modern Solution Datenleck: ALLE Plattform-Endkundendaten einsehbar<\/a> auf die Implikationen hingewiesen, nachdem er einen Tag vorher <a href=\"https:\/\/wortfilter.de\/warnung-datenleck-beim-jtl-partner-modern-solution-gmbh-co-kg\/\" target=\"_blank\" rel=\"noopener\">den Artikel zur Sicherheitsl\u00fccke<\/a> online gestellt hatte. Einem IT-Spezialisten fiel bei der Installation einer (H\u00e4ndler-) Software\u00a0 auf, dass eine Datenbankverbindung zu einem externen Server aufgebaut wurde. Da die f\u00fcr den Datenbankzugriff erforderlichen Zugangsdaten von einer Firewall des Systems protokolliert wurden, lie\u00dfen sich Details zu dieser Verbindung rekonstruieren.<\/p>\n<p>Auf einem Server der Modern Solution GmbH &amp; Co. KG waren mehrere Datenbanken vorhanden und einsehbar. Es stellte sich heraus, dass die Modern Solution GmbH &amp; Co. KG der Dienstleister f\u00fcr die Online-Plattformen der oben genannten Anbieter ist. Vom Modern Solution System wurden die Zugangsdaten f\u00fcr die Datenbank (bei der Software-Installation) den H\u00e4ndlern der nachfolgend genannten Handelsplattformen im Klartext \u00fcbermittelt. Mit diesen Zugangsdaten, so schreibt Wortfilter.de, lie\u00dfe sich ein H\u00e4ndlersystem vollst\u00e4ndig \u00fcbernehmen, manipulieren oder auslesen.<\/p>\n<p>Normalerweise h\u00e4tte ich jetzt erwartet, dass die betreffende Schwachstelle beseitigt wird und die betroffenen Kunden eine entsprechende Information erhalten &#8211; wir leben schlie\u00dflich in Europa und dort gilt seit Mai 2018 die DSGVO. Aber wie oben skizziert, f\u00fchlt sich niemand zust\u00e4ndig, und die betroffenen Kunden sind wohl bis heute nicht informiert.<\/p>\n<p>Wenn meine Annahme, dass der SWR-Artikel von Marktcheck sich auf den hier angesprochenen Vorfall bei Modern Solution nicht falsch ist, kommt noch schlimmer es. Die Modern Solution GmbH &amp; Co. KG hat den Entdecker der Schwachstelle und auch den Betreiber der Seite wortfilter.de, den Blogger Mark Steier, wegen dieses Vorfalls angezeigt. F\u00fcr den Entwickler hatte dies gravierende Folgen., denn in dessen Firma wurden laut Berichterstattung f\u00fcnf Notebooks, drei externe Festplatten, zwei USB-Sticks sowie der Rechner, in dem sie steckten, sowie das Smartphone des Betroffenen beschlagnahmt. Das war eine existenzbedrohende Situation, da dem Betroffenen nicht nur die Arbeitsger\u00e4te, sondern auch alle Arbeits- und Projektdaten samt Quellcodes fehlen. War im Herbst 2021 &#8211; also in Zeiten, wo Freiberufler und kleine Firmen wegen Corona eh schon zu k\u00e4mpfen haben. Die betreffenden Hintergrundartikel aus meinem Blog sind am Beitragsende verlinkt.<\/p>\n<h2>Im Bananenland angekommen?<\/h2>\n<p>Warum werde ich blo\u00df das Gef\u00fchl nicht los, dass wir irgendwie in einer Bananenrepublik gelandet sind. Es wird im Sommer 2021 eine Schwachstelle entdeckt, die Hundertausende brisante Daten offen legt. Drei Monate nach der Entdeckung findet im Herbst 2021 beim Entdecker eine Hausdurchsuchung wegen der Offenlegung der Schwachstelle statt. Sechs Monate sp\u00e4ter, im Januar 2022, sind die Betroffenen immer noch nicht \u00fcber das Datenleck informiert &#8211; und die Verursacher schieben sich &#8211; juristisch wohl unangreifbar &#8211; die Verantwortung hinsichtlich der Benachrichtigung zu.<\/p>\n<p>Es ist nur der Berichterstattung des SWR (gut, ich gehe davon aus, dass Mark Steier und der betroffene Entwickler die Redaktion drauf gehoben haben) zu verdanken, dass das Ganze publik wird. Die Datensch\u00fctzer sammeln und bewerten noch. Wenn aber eine Webseite mal einen Cookie-Consent-Banner falsch setzt, drohen die gleichen Institutionen gleich mit der gro\u00dfen Keule.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/01\/kundendaten-von-online-marktpltzen-otto-kaufland-check24-einsehbar\/\">Kundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/01\/18\/datenleck-bei-deutschen-shopping-plattformen-700-000-kundendaten-online\/\">Datenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/10\/16\/entwickler-meldet-modern-solution-datenleck-darauf-anzeige-und-hausdurchsuchung\/\">Entwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/11\/06\/modern-solution-datenleck-anzeige-gegen-entwickler-kam-vom-hersteller\/\">Modern Solution-Datenleck: Anzeige gegen Entwickler kam vom Hersteller<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Deutsche Online-Plattformen und Marktpl\u00e4tze sind anf\u00e4llig f\u00fcr Datenklau. Kaufdaten von 700.000 deutschen Kunden dieser Marktpl\u00e4tze waren online einsehbar. Die Betroffenen sind bisher nicht informiert worden. Das Wirtschaftsmagazin Plusminus berichtete die Tage \u00fcber diese Sicherheitsl\u00fccke, die den Kunden bislang weitgehend unbekannt &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/01\/18\/datenleck-bei-deutschen-shopping-plattformen-700-000-kundendaten-online\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,4328],"class_list":["post-261683","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261683"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261683\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}