Bei den Vergleichsportalen Check24 und Verivox wurden gravierende Datenlecks aufgedeckt, wie dpa und Heise Online berichten. Kunden konnten auf sensible Daten wie Namen, Adressen, Einkommen und Bankdaten anderer Nutzer zugreifen. Durch simple Anpassungen der Internetadressen konnten bei beiden Portalen fremde Kreditangebote, Darlehensverträge samt Einkommensauskunft und Kontonummer heruntergeladen werden.
Bei Check24 gab es zudem eine zweite Sicherheitslücke, für deren Ausnutzung mehr IT-Know-how erforderlich war. Über diese konnten Download-Links zu PDF-Dateien mit Kreditangeboten eingesehen werden. Diese Dokumente enthielten detaillierte Informationen wie Namen, Geschlecht, Telefonnummern, E-Mail-Adressen, Geburtsdaten, Staatsangehörigkeit, Arbeitsverhältnisse und Einkommen sowie Kreditdetails wie die Höhe des beantragten Darlehens, Raten und Kontoinformationen inklusive IBAN.
Die Sicherheitslücke wurde vom Chaos Computer Club (CCC) aufgedeckt und von dessen Sprecher bei der Non-Profit-Organisation Correctiv, Matthias Marx, u. a. mit den Worten beschrieben: „Jeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen, und wie viel Geld sie im Moment für Kredite ausgeben“. Matthias Marx sprach von einem „stümperhaften Umgang“ mit den Kundendaten und betonte, dass der Begriff „Sicherheitslücke“ hier fast unangemessen sei, da die Daten im Internet ohne Schutz zugänglich waren.
Check24 beantwortete erste Anfragen zu dem Vorfall nicht, während der Datenschutzbeauftragte in Baden-Württemberg Untersuchungen eingeleitet hat. Dieser Vorfall zeigt eindrücklich, wie gefährdet Nutzerdaten auf den Servern von Internetdienstleistern sind, da bereits einfache Schwachstellen zu massiven Datenpannen führen können.
Quellen:
– CORRECTIV vom 17.09.24 – Kreditvermittlung bei Check24 und Verivox: Kritische Datenlecks entdeckt
– HEISE ONLINE vom 17.09.24 – Datenlecks bei Check24 und Verivox aufgedeckt