{"id":305314,"date":"2024-10-18T11:00:57","date_gmt":"2024-10-18T09:00:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305314"},"modified":"2024-11-27T16:24:38","modified_gmt":"2024-11-27T15:24:38","slug":"bei-brillen-de-standen-millionen-kundendaten-offen-im-internet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/10\/18\/bei-brillen-de-standen-millionen-kundendaten-offen-im-internet\/","title":{"rendered":"Bei brillen.de standen 3,5 Millionen Kundendaten offen im Internet"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Unsch\u00f6ne Geschichte, die sich beim Online-Anbieter brillen.de<\/em> ereignet hat. Durch einen Konfigurationsfehler standen die Daten von 3,5 Millionen europ\u00e4ischen Kunden offen im Internet. Man konnte also sehen, wer dort Brillen gekauft hat. Der Anbieter hat das Leck nach einer Meldung stillschweigend geschlossen. Erg\u00e4nzung:<\/strong> Informationen \u00fcber das Datenleck bekannt gegeben.<\/p>\n

<\/p>\n

Sicherheitsforscher sto\u00dfen auf Datenbank<\/h2>\n

\"\"Die Leute von Cybernews hatten mich bereits am gestrigen Donnerstag, den 17. Oktober 2024, \u00fcber den Datenschutz-Vorfall informiert. Mit Daten von 3,5 Millionen europ\u00e4ischen Kunden, die f\u00fcr Dritte abrufbar waren, ist das ein gr\u00f6\u00dferes Datenleck.<\/p>\n

Offener Elastic Server-Cluster im Internet<\/h3>\n

Am 8. August 2024 entdeckten die Sicherheitsforscher von Cybernews ein Elasticsearch-Cluster, welches aus dem Internet zugreifbar war. Elasticsearch ist eine Suchmaschine, mit der Benutzer gro\u00dfe Datenmengen speichern, durchsuchen und analysieren k\u00f6nnen. Das ist kein Problem, sofern diese Zugriffe durch eine Benutzerauthentifizierung abgesichert sind.<\/p>\n

Im aktuellen Fall fehlte aber diese Authentifizierung, so dass durch die fehlende Authentifizierung die Daten f\u00fcr Internetnutzer und zwangsl\u00e4ufig auch f\u00fcr Bedrohungsakteure, die das Internet st\u00e4ndig nach \u00f6ffentlich zug\u00e4nglichen Datenbanken durchsuchen, zug\u00e4nglich sind.<\/p>\n

Kundendaten von brillen.de<\/h3>\n

Ein Blick in die Datens\u00e4tze des Elastic Search-Clusters zeigte, dass dieses zum\u00a0deutschen Online Brillenh\u00e4ndler Brillen (brillen.de) geh\u00f6rte. Die Sicherheitsforscher fanden \u00fcber 3,5 Millionen Datens\u00e4tze mit Kundendaten.<\/p>\n

Das so bestehende Datenleck betraf \u00fcber 3,5 Millionen Kunden aus ganz Europa, die irgend etwas bei brillen.de bestellt hatten. In den Datens\u00e4tzen lie\u00dfen sich die vollst\u00e4ndige\u00a0 Namen der Kunden, deren Anschriften, angegebene E-Mail-Adressen oder (Handy-)Nummern, das Geschlecht und das Geburtsdatum ablesen. Hinzu kommen detaillierte Bestellinformationen, Zahlungsbetr\u00e4ge, sowie Rechnungsnummern und -daten.<\/p>\n

In Deutschland betraf dies 2.464.579 Kundendaten. Da brillen.de auch in Spanien aktiv ist, fanden sich\u00a0961.000 Datens\u00e4tze spanischer Kunden. Und aus \u00d6sterreich waren\u00a090.000 Kundendatens\u00e4tze betroffen.<\/p>\n

Anbieter schlie\u00dft Datenleck<\/h2>\n

Die Sicherheitsforscher haben dann den Online-Anbieter brillen.de<\/em> \u00fcber ihre Entdeckung in Kenntnis gesetzt, wie sie hier schreiben<\/a>. Das Unternehmen reagierte sofort mit der Sperrung des Zugangs zu den Daten. Der Elastic Search Cluster wurde zwar bez\u00fcglich der Erreichbarkeit per Internet entfernt. Auf deren Internetseite habe ich aber keine Information \u00fcber ein Datenleck gefunden, man hat wohl stillschweigend korrigiert.<\/p>\n

\"brillen.de<\/p>\n

Aktuell bleibt es unklar, wie lange der Cluster offen war. Auch bleibt das Ausma\u00df des Datenlecks unklar, weil nicht bekannt ist, ob und in welchem Umfang \u00f6ffentliche Suchmaschinen die Daten indiziert haben. Sobald die Daten indiziert sind, k\u00f6nnen sie von jedermann eingesehen werden, was eine Goldgrube f\u00fcr Bedrohungsakteure darstellt. Bei einer stichprobenartigen Suche habe ich keine Treffer erzielen k\u00f6nnen.<\/p>\n

Erg\u00e4nzung:<\/strong> heise hat beim Datenschutzbeauftragten von brillen.de und beim\u00a0 Landesbeauftragten f\u00fcr Datenschutz und Informationsfreiheit von Brandenburg nachgefragt<\/a> – dort wei\u00df man von nix. Die 72 Stunden Meldefrist sind ja lange vorbei. Jemand aus der Leserschaft Kunde bei brillen.de, der benachrichtigt wurde?<\/p>\n

Erg\u00e4nzung 2:<\/strong> Ein Leser hat mich darauf hingewiesen, dass die IP 18.194.48.17 von Brillen.de auf Shodan.io als indexiert gef\u00fchrt wurden. Die Elasticsearch-Daten sind nicht mehr aufgef\u00fchrt, da der Port nicht mehr offen ist. Der Leser ist sich nicht sicher, wann genau die Seite geschlossen wurde. Er hat ein letztes Protokoll dieser IP am 27. August 2024 gesehen (Cybernews hat nicht erw\u00e4hnt, wann genau sie brillen.de kontaktiert haben und wann die Sache geschlossen wurde).<\/p>\n

Erg\u00e4nzung 3:<\/strong> Der Anbieter hat im November 2024 einige Informationen \u00fcber den Grund f\u00fcr das Datenleck bekannt gegeben. heise hatte dann nachgefragt und Details erfahren<\/a>. \"Am 7. August 2024 wurde durch eine Fehlkonfiguration eines Server-Ports auf drei AWS-gehosteten Servern bei Supervista eine potenzielle Sicherheitsl\u00fccke er\u00f6ffnet. Ein Mitarbeiter hatte zu Testzwecken eine Eingangsregel hinzugef\u00fcgt, die Zugriff \u00fcber Port 9200\/TCP erm\u00f6glichte, ging jedoch irrt\u00fcmlich davon aus, dass diese Sicherheitsgruppe ausschlie\u00dflich f\u00fcr Test-Systeme genutzt w\u00fcrde. Nach Abschluss der Tests verga\u00df der Mitarbeiter, die Eingangsregel wieder zu entfernen, was einen externen, unautorisierten Zugriff erm\u00f6glichte.\"<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Unsch\u00f6ne Geschichte, die sich beim Online-Anbieter brillen.de ereignet hat. Durch einen Konfigurationsfehler standen die Daten von 3,5 Millionen europ\u00e4ischen Kunden offen im Internet. Man konnte also sehen, wer dort Brillen gekauft hat. Der Anbieter hat das Leck nach einer Meldung … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-305314","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305314","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305314"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305314\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305314"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305314"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305314"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}