Abo
  • Services:
Anzeige
Datenpanne: 150.000 Datensätze von Schlecker-Kunden offen zugänglich (U)

Datenpanne

150.000 Datensätze von Schlecker-Kunden offen zugänglich (U)

Durch ein bereits geschlossenes Leck waren über die Webseiten der Drogeriekette Schlecker die Daten von über 150.000 Kunden des Unternehmens einsehbar. Name, Adresse, E-Mail und auch Kaufverhalten konnten von jedermann abgerufen werden. Ob die Datenbank bereits in falsche Hände geraten ist, ist nicht bekannt. Schlecker hat Anzeige erstattet.

Einem Bericht der Bild zufolge wurde das Datenleck am Donnerstag, dem 26. August 2010 geschlossen - wie lange es bestand, geht aus der Meldung nicht hervor. Der Darstellung des Boulevardblatts zufolge sollen die Daten "mit wenigen Mausklicks" über das Internet zugänglich gewesen sein. Die Art der Sicherheitslücke wird nicht näher beschrieben. Die Schlecker-Webseite soll aber die vollständigen Daten von über 150.000 Kunden des Unternehmens preisgegeben haben.

Anzeige

Eine solche Datenbank ist bei Adresshändlern sehr begehrt, weil sie nicht nur vollständige Angaben über die Anschrift und die E-Mail-Adresse, sondern auch das Kundenprofil enthält. Offenbar waren auch die in Schleckers Onlineshop gekauften Artikel einsehbar. Zusätzlich sollen noch 7,1 Millionen E-Mail-Adressen ohne weitere Angaben abrufbar gewesen sein. Diese Personen hatten sich für den Newsletter der Drogeriekette registriert.

Entdeckt hatte die Lücke der deutsche Unternehmer Tobias Huch, den die Bild jetzt als "Datenschützer" bezeichnet. Huch war bereits mehrfach in die Schlagzeilen geraten, zuletzt, als er nachweisen konnte, einen wesentlichen Teil der Ende 2008 bei der Telekom entwendeten Daten von 17 Millionen Kunden zu besitzen. Zuvor hatte seine Huch Medien GmbH, die eigene Erotikangebote mit Altersprüfung betrieb, gegen deutsche Provider geklagt, weil diese Erotikseiten aus dem Ausland ohne Altersprüfung zugänglich machten. Huch fordert seinerseits eine Abschaffung des Pornografieverbots.

Hintertür durch ungeschütztes Skript

Tobias Huch sagte Golem.de, die Sicherheitslücke habe an einer Shell-Datei gelegen, die ungeschützt im Root-Verzeichnis des Webservers abgelegt war. Der Name der Datei war leicht zu erraten. Das Skript loggte den Benutzer dann in die Datenbank von Schlecker ein. Huch vermutet, dass es sich bei dem Skript um eine absichtlich angebrachte Hintertür zur Wartung handelte.

Den Namen des Providers, der seine Server so unzureichend gesichert hatte, wollte Tobias Huch nicht nennen. Ebenso sei nicht gewiss, wie lange die Lücke schon bestanden habe. Die von Huch eingesehenen und zum Teil lokal gespeicherten Daten sind laut Darstellung des Unternehmers noch vor Erscheinen des Bild-Berichtes unter Aufsicht des Datenschutzbeauftragen von Rheinland-Pfalz vernichtet worden.

Nachtrag vom 27. August 2010, 12:45 Uhr:

Schlecker äußerte gegenüber Golem.de: "Das Datenleck wurde sofort entdeckt und umgehend geschlossen". Zudem sei es, wie Tobias Huch erklärte hatte, nicht auf den Servern von Schlecker, sondern bei einem externen Dienstleister aufgetreten.

Dort vermutet die Drogeriekette aber eine ganz andere undichte Stelle: "Der illegale Zugriff war offenbar nach einem internen Angriff möglich", meint Schlecker. Deshalb habe das Unternehmen bereits Anzeige gegen unbekannt erstattet. Die Daten seien zudem nicht öffentlich einsehbar gewesen, sondern "nur durch technisch versierte Personen mit genauer Kenntnis der Quelle." Es habe deshalb nur wenige unbefugte Zugriffe auf die Daten gegeben.

Schlecker bedauert die bei den betroffenen Kunden entstandenen Unannehmlichkeiten und will sich mit diesen Menschen in Verbindung setzen. Nach Darstellung von Schlecker waren "keine sensiblen Kundendaten wie etwa Passwörter, Kontonummern oder andere Zahlungsdaten sowie Kaufinformationen in den Datensätzen enthalten". Das widerspricht der Darstellung von Bild, die von "Kundenprofilen" mitsamt Einkaufsverhalten berichtete.


eye home zur Startseite
Xystec 29. Aug 2010

Sind es nicht gerade die Leute, die ihr Haus nie verlassen, diejenigen, welche...

GodsBoss 28. Aug 2010

Eben, ich habe auch immer eine falsche Adresse angegeben. Zum Glück, das ist sowieso ein...

samy 28. Aug 2010

Sonst müsste schon "damals bereits geschlossen" heißen, tja die deutsche Sprache ist...

dfadfasdfasdfasdf 28. Aug 2010

und die Mails landen ja dann eh in den Spamfiltern ;) Das geht recht leicht, muss ja nur...

samy 27. Aug 2010

da sind die ganzen Einbrecher und Kriminellen die Schlecker überfallen bzw. einbrechen...


Voola / 27. Aug 2010



Anzeige

Stellenmarkt
  1. Bundesnachrichtendienst, München
  2. ifb KG, Seehausen am Staffelsee
  3. DMG MORI Software Solutions Germany GmbH, Pfronten (Allgäu)
  4. USU AG, Bonn


Anzeige
Top-Angebote
  1. 12,99€
  2. (mehr als 2.500 reduzierte Titel)
  3. (Rabattcode: MB10)

Folgen Sie uns
       


  1. Spielebranche

    Goodgame Studios entlässt weitere 200 Mitarbeiter

  2. Project Scorpio

    Neue Xbox ohne ESRAM, aber mit Checkerboard

  3. DirectX 12

    Microsoft legt Shader-Compiler offen

  4. 3G-Abschaltung

    Telekom-Mobilfunkverträge nennen UMTS-Ende

  5. For Honor

    PC-Systemanforderungen für Schwertkämpfer

  6. Innogy

    Telekom will auch FTTH anmieten

  7. Tissue Engineering

    3D-Drucker produziert Haut

  8. IBM-Übernahme

    Agile 3 bringt Datenübersicht in die Chefetage

  9. Sicherheitsupdate

    Apple patcht Root-Exploits für fast alle Plattformen

  10. Aktionsbündnis Gigabit

    Nordrhein-Westfalen soll flächendeckend Glasfaser erhalten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. DACBerry One Soundkarte für Raspberry Pi liefert Töne digital und analog
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  3. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

Intel Core i7-7700K im Test: Kaby Lake = Skylake + HEVC + Overclocking
Intel Core i7-7700K im Test
Kaby Lake = Skylake + HEVC + Overclocking
  1. Prozessoren Termin für Kaby Lake-X und Details zu den Kaby-Lake-Xeons
  2. Kaby Lake Intel macht den Pentium dank HT fast zum Core i3
  3. Kaby Lake Refresh Intel plant weitere 14-nm-CPU-Generation

  1. Re: Geile Nummer

    DetlevCM | 18:01

  2. Re: Rollenspiele sind out

    ArcherV | 17:57

  3. Re: UHD-Auflösung für Streaming interessant

    The_Grinder | 17:56

  4. Re: Das einzige was diese Mouthbreather verstehen...

    ArcherV | 17:54

  5. Voice-over-LTE - wie soll das gehen?

    McWiesel | 17:51


  1. 18:21

  2. 18:16

  3. 17:44

  4. 17:29

  5. 16:57

  6. 16:53

  7. 16:47

  8. 16:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel