Sensible Daten mehrerer Onlineshops lagen jahrelang ungeschützt im Netz
Sensible Daten mehrerer Onlineshops lagen jahrelang ungeschützt im Netz
Tatsächlich waren es bis jetzt Bankverbindungen, Telefonnummern, Bestellinformationen, sowie Postadressen und E-Mail-Adressen, die jahrelang ohne Schutz im Netz lagerten. Diese Daten stammten aus Onlineshops, geschätzt sind über 700 000 Nutzer in Deutschland davon betroffen. Dabei handelt es sich um eine massive Sicherheitslücke. Entsprechend dieser Sicherheitslücke schwirrten diese hochsensiblen Daten mehrere Jahre lang ungeschützt im Internet herum.
Der Dienstleister der Schnittstelle und das Datenleck
Es ist heute ganz normal, dass diverse Marktplätze von Anbietern, wie zum Beispiel Media-Markt, Kaufland oder Otto online geboten werden. Dort ist es auch für jeden externen Händler mit Verbindung zum Anbieter möglich, seine Produkte zu offerieren. Für diesen Verkauf wird eine Schnittstelle von einem Dienstleister eingerichtet. So wird das Warenwirtschaftssystem mit dem online Marktplatz verbunden. Diese Schnittstellen werden von der jeweiligen Plattform zur Verfügung gestellt. So kann sich der Dienstleister verbinden.
Entsprechend werden die Bestelldaten der Kunden und Nutzer an die Händler weitergereicht und verarbeitet. Solche Schnittstellendienstleister gibt es mehrere, in Deutschland sind es ca. ein Dutzend. Einer dieser Dienstleister hatte allerdings ein massives Datenleck, sodass die Daten ungeschützt waren. Betroffen sind folgende Marktplätze:
· idealo
· Media-Markt
· Kaufland
· Otto
· Check24, Tyre24
· Hood
· Crowdfox
Aus juristischer Sicht sind allerdings gar nicht die Plattformen für die Aufarbeitung und das Datenleck verantwortlich. Die meisten Anbieter kommen ihrer Verantwortung nicht nach; die betroffenen Kunden wurden nicht einmal über das Datenleck informiert.
Entdeckung aus purem Zufall
Erst im Sommer 2021 wurde diese Lücke von einem Programmierer aufgedeckt. Obwohl das Datenleck sofort geschlossen wurde, wissen die Kunden nichts von ihrer Situation. Es gibt aber Möglichkeiten, die betroffenen Datensätze exklusiv einzusehen. Es wäre theoretisch auch möglich, die Kunden entsprechend zu informieren. Jede Plattform weist allerdings direkt darauf hin, dass sie in datenschutzrechtlicher Hinsicht nicht für den jeweiligen Marktplatz verantwortlich ist. Die Plattformen stellen sich quasi nur als Vermittler zwischen dem Kunden und dem Händler dar. Deshalb ist es der Händler, der als direkter Vertragspartner gegenüber dem Kunden auftritt. In der Folge ist es auch der Händler, der für die Verarbeitung der Kundendaten verantwortlich ist.
Situation noch immer ungeklärt
Im Moment wird die Situation des Datenlecks von den zuständigen Landesdatenschutzbeauftragten untersucht. Die Tatsache, dass die Kunden trotzdem seit Monaten nicht darüber informiert worden sind, ist mehr als skandalös und schwerwiegend zugleich.
IT Sicherheitsexperten haben diese Daten mittlerweile überprüft und analysiert, es wird vermutet, dass damit auch im Darknet gehandelt wird. Sehr viele Daten enthalten auch Zahlungsinformationen, was wiederum für Kriminelle und deren Phishing Mails ideal ist. Damit kann ein Identitätsdiebstahl begangen werden. Mittlerweile ist noch nicht klar, ob mit den Daten tatsächlich im Darknet gehandelt wird oder nicht. Insgesamt bestand das Datenleck drei Jahre lang.