![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Der Chaos Computer Club (CCC) hat eine veritable Sicherheitsl\u00fccke bei den Vergleichsportalen Check24 und Verivox gefunden. \u00dcber Schwachstellen lie\u00dfen sich bei beiden Vergleichsportalen Darlehensvertr\u00e4ge von Kreditinteressierten heruntergeladen. Dadurch h\u00e4tten Dritte an Postanschriften, Einkommensangaben, Bankdaten und E-Mail-Adressen dieser Personen gelangen k\u00f6nnen.<\/p>\n
<\/p>\n
Es ist ein veritabler Datenschutzvorfall, auf den der Chaos Computer Club (CCC) gerade aufmerksam gemacht hat. \u00dcber die Webseiten der beiden genannten Vergleichsportale konnten Interessenten Darlehensvertr\u00e4ge beantragen. Dazu sind nat\u00fcrlich eine Menge Angaben zu machen – und wer mal bei den beiden Anbietern aktiv war, kennt es, dass man die eigenen Antr\u00e4ge auch per Webseite mit der richtigen URL abrufen bzw. einsehen kann.<\/p>\n
Nur war es so, dass unbeteiligte Dritte in der Lage gewesen w\u00e4ren, \u00fcber unsichere direkte Objektreferenzen auf Darlehensvertr\u00e4ge von anderen Kreditinteressierten zuzugreifen. Es reichte ein simples Hoch- oder Runterz\u00e4hlen eines Parameters in einer URL, um sich durch die Darlehensvertr\u00e4ge zu bewegen, wie der CCC hier mitteilt<\/a>. Die Details hat Correctiv im Artikel Kreditvermittlung bei Check24 und Verivox: Kritische Datenlecks entdeckt<\/a> ver\u00f6ffentlicht.<\/p>\n Bei Check24 und Verivox handelt es sich um sogenannte Vergleichsportale, auf denen Verbraucher Strom-, Gas-, Handy- und Internettarife sowie Versicherungen, Kredite und andere Dienstleistungen vergleichen k\u00f6nnen. Ich tippe darauf, dass auch ein Gro\u00dfteil der Leser hier im Blog irgendwann schon mal diese Portale benutzt hat. In der Regel gibt man dort neben einer E-Mail-Adresse vertrauliche Daten an. Speziell bei Kreditantr\u00e4gen wollen die Kreditgeber einige Details wissen.<\/p>\n Im Bereich Kreditvermittlung gab es bei beiden genannten Vergleichsportalen Schwachstellen, die laut Correctiv Unbefugten den Zugriff auf Verivox-Kreditnehmerdaten von bis zu 75.000 Menschen erm\u00f6glichten. Correctiv schreibt, dass \"bis vor wenigen Tagen\" vertrauliche pers\u00f6nliche Daten von Kreditnehmern \u00fcber das Datenleck abrufbar waren. Zu diesen Daten geh\u00f6rten Name und Adresse, Einkommen, die Zahl der Kinder oder das Arbeitsverh\u00e4ltnis. Beim CCC ist auch die Rede davon, dass IBANs der Bankverbindungen der Kreditnehmer einsehbar waren.<\/p>\n Ein anonymer IT-Experte stie\u00df im Juli 2024 durch Zufall bei Check24 auf die als trivial bezeichnete Schwachstelle. Eine \u00dcberpr\u00fcfung des Konkurrenzportals Verivox ergab, dass dort \u00e4hnliche Schwachstellen vorlagen. Diese technischen Fehler erm\u00f6glichten das Abrufen der fremden Dokumente f\u00fcr Dritte. Der Experte informierte den CCC (es ist dem Modern Solutions-Fall<\/a> geschuldet, dass der Entdecker der Schwachstelle den CCC und nicht die Unternehmen informierte), der Corrrectiv mit ins Boot nahm. Correctiv kontaktierte beide Unternehmen zeitnah, die dann das Datenleck best\u00e4tigten und die Schwachstelle zeitnah schlossen.<\/p>\n Laut Correctiv-Bericht hat Check24 die gr\u00f6\u00dfte Schwachstelle am 30.07.2024 beseitigt, weitere Fehler sollen in den Folgetagen korrigiert worden sein. Der CCC schreibt, dass bei Check24 zudem ein ungesicherter Websocket gefunden wurde, \u00fcber den man live und ohne Authentifizierung neue Kreditangebote mitschneiden konnte. Interessant war, dass Check24 zwar den Zugriff auf Kreditangebote durch ein Passwort gesichert hatte. Dieses Passwort galt aber f\u00fcr alle Kunden. Bei Verivox war nicht einmal ein Passwort f\u00fcr den Zugriff auf die Dokumente erforderlich – es reichte die Kenntnis der betreffenden URL.<\/p>\n Beide Vergleichsportale Check24 und Verivox verfolgen ein Gesch\u00e4ftsmodell, bei dem Interessierte sensitive, pers\u00f6nliche Daten f\u00fcr einen Anbietervergleich angeben m\u00fcssen. Die veritablen Datenlecks werfen nun kritische Fragen auf bzw. sind der GAU f\u00fcr die beiden Anbieter. Wenn Dritte ebenfalls auf die Schwachstellen gesto\u00dfen sind, konnten sie brisante vertraulich Daten abgreifen. Nutzer waren einem gro\u00dfen Risiko ausgesetzt, dass ggf. erbeutete Daten f\u00fcr kriminelle Zwecke missbraucht werden k\u00f6nnten.<\/p>\n Au\u00dfenstehende haben keinen Zugriff auf die Log-Dateien, k\u00f6nnen also nicht feststellen, ob Unbefugte \u00fcber die Schwachstellen Zugriff auf diese Daten hatten. Sowohl Check24 als auch Verivox negieren einen Fremdzugriff, man habe keine unbefugten Zugriffe auf die Daten ihrer Nutzer festgestellt.<\/p>\n Es bleibt aber die Frage nach der Datensicherheit bei beiden Anbietern. Beim Vergleichsportal Verivox ist mir sofort die Datenpanne aus dem Jahr 2023 durch den Kopf gegangen. Damals wurde der Anbieter Opfer der MoveIT-Schwachstelle (siehe Cyber-News: MOVEit-Opfer, Zurich Insurance, Verivox etc. und weitere Cyber-Vorf\u00e4lle (19. Juni 2023)<\/a>). Der Vorfall best\u00e4tigt meinen pers\u00f6nlichen Bauchschmerzen, wenn ich mal wieder ein solches Vergleichsportal (z.B. f\u00fcr einen KFZ-Versicherungsvergleich) benutzt habe. Die Details des obigen Vorfalls lassen sich ausf\u00fchrlich bei Correctiv nachlesen<\/a>.<\/p>\n \u00c4hnliche Artikel:<\/strong> Verivox-Datenschutzvorfall: Auswirkungen auf Maingau Energie?<\/a> Der Chaos Computer Club (CCC) hat eine veritable Sicherheitsl\u00fccke bei den Vergleichsportalen Check24 und Verivox gefunden. \u00dcber Schwachstellen lie\u00dfen sich bei beiden Vergleichsportalen Darlehensvertr\u00e4ge von Kreditinteressierten heruntergeladen. Dadurch h\u00e4tten Dritte an Postanschriften, Einkommensangaben, Bankdaten und E-Mail-Adressen dieser Personen gelangen k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-303071","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/303071","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=303071"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/303071\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=303071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=303071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=303071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Datenleck](\"https:\/\/i.postimg.cc\/5tGz21vr\/image.png\" "\\"Datenleck")
<\/a><\/p>\nBrisante Daten abrufbar<\/h2>\n
IT-Experte entdeckt Schwachstellen<\/h2>\n
\n
Fragen zur Sicherheit des Gesch\u00e4ftsmodells<\/h2>\n
\nKundendaten von Online-Marktpl\u00e4tzen (Otto, Kaufland, Check24 \u2026) einsehbar<\/a>
\nDatenleck bei deutschen Shopping-Plattformen (700.000 Kundendaten online)<\/a>
\nEntwickler meldet Modern-Solution-Datenleck, darauf Anzeige und Hausdurchsuchung<\/a>
\nAmtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a><\/p>\n
\nCyber-News: MOVEit-Opfer, Zurich Insurance, Verivox etc. und weitere Cyber-Vorf\u00e4lle (19. Juni 2023)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"