TNS-Infratest-Datenleck größer als gedacht

Fehler erlaubte auch die Manipulation fremder Accounts

Ein Programmierfehler, der zu einem schwerwiegenden Datenschutzproblem beim Marktforschungsinstitut TNS Infratest/Emnid geführt hat, hatte offenbar weiterreichende Folgen als bislang bekannt. So konnten die 40.000 Testkäufer nicht nur die persönlichen Angaben anderer einsehen, sondern auch manipulieren.

Anzeige

Durch den Fehler waren vertrauliche Daten über das Mystery-Shopper-Portal des Unternehmens, wo die Testkäufer ihre Eingaben machen, für Unbefugte einsehbar. Wenn diese sich mit Nutzername und Passwort in die TNS-Datenbank einloggten, erhielten sie eine Session-ID, die Teil der URL war. Tauschte einer der Testkäufer diese gegen die fünfstellige ID eines anderen Nutzers aus, bekam er Schreib- und Leserechte für dessen Account.

Zu den Angaben gehören nicht nur Name, Adresse, Geburtsdatum, Handynummer und Bankverbindung. Das Profil umfasst auch Angaben über den Beruf, das Einkommen, die Wohnsituation, Versicherungen, Auto und sogar über Wertgegenstände im Haushalt. Wie Spiegel Online berichtete, waren die Angaben der Mystery-Shopper nicht nur von anderen Testkäufern einsehbar, sie waren auch beliebig manipulierbar. Die Redaktion beruft sich dabei auf David Ehlers, Geschäftsleiter der Forschungs-GmbH Infratest im Bereich Datenbeschaffung.

Laut dessen Angaben habe TNS Infratest/Emnid aber festgestellt, "dass niemand dieses Sicherheitsleck ausgenutzt hat - außer dem Chaos Computer Club (CCC)". Die Hacker hatten das Meinungsforschungsinstitut über den Fehler informiert, woraufhin die Site vom Netz genommen und die Betroffenen gewarnt wurden.

Unklar ist laut dem Bericht auch, ob nur die über 40.000 Testkäufer von TNS Infratest betroffen waren. So seien auch Personen, die im Onlineportal MySurvey (früher: MyTNS) registriert sind und dort Marktforschungsfragebögen ausgefüllt haben, in der Mystery-Shopper-Datenbank aufgetaucht.

Bis zum Redaktionsschluss dieses Beitrages war von TNS Infratest/Emnid keine Stellungnahme zu erhalten.

Der Bundesdatenschutzbeauftragte Peter Schaar beklagte, diese Vorgängen seien kein Einzelfall. Es gebe viele Fälle, bei denen die Session-ID fortlaufend vergeben werde, sagte er Spiegel Online. So sei das Problem bereits bei Webshops und E-Government-Portalen aufgetreten. "Wenn ein Unternehmen ein Sicherheitsleck entdeckt, sollte es per Gesetz dazu verpflichtet sein, die betroffenen Personen selbstständig aufzuklären", sagte er. Gegenwärtig klärten Firmen diesen Fehler nur dann auf, wenn Journalisten ihn öffentlich machten.

Kommentarübersicht
bei denen die Session-ID fortlaufend vergeben werde?
marcel83 14. Jul 2008

Session-ID + Forlaufend? Wo ist sowas denn möglich bzw. wer macht sowas? Ich denke unser...

Und das sind nicht die einzigsten
johnmcwho 14. Jul 2008

Es gibt noch viele andere Unternehmen bei denen das Zutrifft. Ist schon erschreckend wie...

Re: Die haben Glück
adlerweb2 14. Jul 2008

Gegenfrage: Was kann denn Gutes damit "gemacht werden"? Welche Vorteile hat es die Daten...

Re: Die haben Glück
silo 14. Jul 2008

Tipp für dich: Einfach keine Angst machen lassen und ausprobieren! Immer schön private...

Re: Die haben Glück
any 14. Jul 2008

Sehr vieles kann mann damit machen :-) Also in vielen Fällen kann mann Informationen über...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Business- / Service-Analyst (m/w)
    ADAC e. V., München
  2. IT-Support-Mitarbeiter/in
    Clifford Chance, Frankfurt am Main
  3. IT Manager (m/w)
    Seaarland Shipmanagement GmbH & Co. KG, Hamburg (Reisebereitschaft)
  4. IT Servicetechniker (m/w) Prozess- und Steuerungssoftware
    Marel Food Systems über Mercuri Urval GmbH, Großraum Osnabrück

 

Detailsuche

Folgen Sie uns
       
Videos
SSX - Trailer (Spielfigur Moby) SSX - Trailer (Spielfigur Moby)
Meistgelesen
  1. Tablet-Nachfolger

    iPad-3-Teile aufgetaucht
  2. Tim Schafer

    40.000 US-Dollar für einen Konsolenpatch
  3. Gema-Vermerk

    Youtube sperrt irrtümlich Acta-Video von Bruno Kramm
  4. ProLiant Gen8

    HP macht Server unabhängig
  5. Abmahnabzocke

    Maximal 100 Euro Abmahngebühr für Urheberrechtsverstöße
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 270 | letzter Beitrag 13.02. 23:28

  2. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 194 | letzter Beitrag 13:50 Uhr

  3. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 187 | letzter Beitrag 17:46 Uhr

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 121 | letzter Beitrag 17:55 Uhr

  5. Spielebranche: Diskussion über "stinkende Gamer"

    Kommentare: 100 | letzter Beitrag 18:09 Uhr

Mehr

Ticker
  1. Youporn-Betreiber

    Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

  2. TZ77XE4

    Biostar zeigt Mainboard für Ivy Bridge und Sandy Bridge

  3. Unity Technologies

    Bessere Grafik und KI mit Unity 3.5 verfügbar

  4. Fifa Street

    Last Man Standing auf dem Bolzplatz

  5. Isis Web Browser

    Neuer Browser für HPs WebOS

  6. Nortel Networks

    Nortel war fast zehn Jahre lang gehackt

  7. Thermosensor

    Schmetterlingsflügel macht Wärme sichtbar

  8. Deutsche Gamestage

    Call for Papers der Quo Vadis verlängert

  9. Vodafone

    LTE auf dem Smartphone kostet monatlich 10 Euro mehr

  10. Abmahnabzocke

    Maximal 100 Euro Abmahngebühr für Urheberrechtsverstöße

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Apple
Eye-Tracking: Bewegungsabhängige Bildschirmoberfläche von Apple
Eye-Tracking
Bewegungsabhängige Bildschirmoberfläche von Apple

Apple hat in den USA einen Patentantrag eingereicht, der eine Benutzeroberfläche beschreibt, die sich der Position des Nutzers vor dem Bildschirm anpassen kann. Die Frontkamera erfasst den Blick des Anwenders und ändert zum Beispiel den Schattenwurf der Icons.

  1. Nicht-Abwerbe-Pakt Google hat mit Apple und Intel gemauschelt
  2. John Browett Apple will mit neuem Chef seine Ladenkette ausweiten
  3. Airport Utility 6 Apple reduziert Funktionsumfang seiner Routersoftware
PSVita
Test PS Vita: Ausstattungswunder mit Speicherproblem
Test PS Vita
Ausstattungswunder mit Speicherproblem

Zwei Analogsticks und starke Grafik, Berührungs- und Bewegungssteuerung, UMTS und Bluetooth: Sony Computer Entertainment packt in den Nachfolger der Playstation Portable so gut wie alles, was irgendwie Sinn ergibt - nur Speicher etwa für Savegames fehlt der PS Vita von Haus aus.

  1. Playstation Network Umbenennung der Konten und neue Firmware
Suchmaschine
Bing, Blekko, Duck Duck Go: Googeln ohne Google?
Bing, Blekko, Duck Duck Go
Googeln ohne Google?

Die überarbeitete Version der Google-Suche "Search, plus Your World" hat heftige Debatten ausgelöst. Vor allem der Datenschutz steht mal wieder im Vordergrund der Kritik. "Geht es eigentlich auch ohne Google?", fragen sich daher viele Nutzer. Der Blogger Marcel Weiß hat es 18 Monate lang getestet.

  1. "Focus on the User" Facebook und Twitter zeigen Google, wie soziale Suche geht
  2. Neuer Algorithmus Google straft Seiten mit zu viel Werbung ab
  3. Theseus-Projekt Quote soll die erste Zitate-Suchmaschine Deutschlands werden
Forumsbeiträge »
  1. Isis Web Browser Neuer Browser für HPs WebOS

    Re: Wie kann man updaten?

    Jossele | 19:23

  2. Klage gegen Samsung Apple will Verkauf des Galaxy Nexus verhindern

    Re: imagine

    neocron | 19:20

  3. Youporn-Betreiber Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

    Ekelhaft

    hschu | 19:18

  4. Youporn-Betreiber Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

    Re: danke golem :)

    schnitti | 19:16

  5. Samsung Fernseher mit Gesichtserkennung für Zuschauer

    Re: Panik?

    razer | 19:13

Ticker »
  1. Youporn-Betreiber Hacker will 350.000 Datensätze bei Pornoseite erbeutet haben

    18:20

  2. TZ77XE4 Biostar zeigt Mainboard für Ivy Bridge und Sandy Bridge

    18:13

  3. Unity Technologies Bessere Grafik und KI mit Unity 3.5 verfügbar

    17:41

  4. Fifa Street Last Man Standing auf dem Bolzplatz

    17:36

  5. Isis Web Browser Neuer Browser für HPs WebOS

    16:57

  6. Nortel Networks Nortel war fast zehn Jahre lang gehackt

    16:51

  7. Thermosensor Schmetterlingsflügel macht Wärme sichtbar

    15:59

  8. Deutsche Gamestage Call for Papers der Quo Vadis verlängert

    15:24

Zum Artikel