Anzeige
Datenpanne: 150.000 Datensätze von Schlecker-Kunden offen zugänglich (U)

Datenpanne

150.000 Datensätze von Schlecker-Kunden offen zugänglich (U)

Durch ein bereits geschlossenes Leck waren über die Webseiten der Drogeriekette Schlecker die Daten von über 150.000 Kunden des Unternehmens einsehbar. Name, Adresse, E-Mail und auch Kaufverhalten konnten von jedermann abgerufen werden. Ob die Datenbank bereits in falsche Hände geraten ist, ist nicht bekannt. Schlecker hat Anzeige erstattet.

Einem Bericht der Bild zufolge wurde das Datenleck am Donnerstag, dem 26. August 2010 geschlossen - wie lange es bestand, geht aus der Meldung nicht hervor. Der Darstellung des Boulevardblatts zufolge sollen die Daten "mit wenigen Mausklicks" über das Internet zugänglich gewesen sein. Die Art der Sicherheitslücke wird nicht näher beschrieben. Die Schlecker-Webseite soll aber die vollständigen Daten von über 150.000 Kunden des Unternehmens preisgegeben haben.

Anzeige

Eine solche Datenbank ist bei Adresshändlern sehr begehrt, weil sie nicht nur vollständige Angaben über die Anschrift und die E-Mail-Adresse, sondern auch das Kundenprofil enthält. Offenbar waren auch die in Schleckers Onlineshop gekauften Artikel einsehbar. Zusätzlich sollen noch 7,1 Millionen E-Mail-Adressen ohne weitere Angaben abrufbar gewesen sein. Diese Personen hatten sich für den Newsletter der Drogeriekette registriert.

Entdeckt hatte die Lücke der deutsche Unternehmer Tobias Huch, den die Bild jetzt als "Datenschützer" bezeichnet. Huch war bereits mehrfach in die Schlagzeilen geraten, zuletzt, als er nachweisen konnte, einen wesentlichen Teil der Ende 2008 bei der Telekom entwendeten Daten von 17 Millionen Kunden zu besitzen. Zuvor hatte seine Huch Medien GmbH, die eigene Erotikangebote mit Altersprüfung betrieb, gegen deutsche Provider geklagt, weil diese Erotikseiten aus dem Ausland ohne Altersprüfung zugänglich machten. Huch fordert seinerseits eine Abschaffung des Pornografieverbots.

Hintertür durch ungeschütztes Skript

Tobias Huch sagte Golem.de, die Sicherheitslücke habe an einer Shell-Datei gelegen, die ungeschützt im Root-Verzeichnis des Webservers abgelegt war. Der Name der Datei war leicht zu erraten. Das Skript loggte den Benutzer dann in die Datenbank von Schlecker ein. Huch vermutet, dass es sich bei dem Skript um eine absichtlich angebrachte Hintertür zur Wartung handelte.

Den Namen des Providers, der seine Server so unzureichend gesichert hatte, wollte Tobias Huch nicht nennen. Ebenso sei nicht gewiss, wie lange die Lücke schon bestanden habe. Die von Huch eingesehenen und zum Teil lokal gespeicherten Daten sind laut Darstellung des Unternehmers noch vor Erscheinen des Bild-Berichtes unter Aufsicht des Datenschutzbeauftragen von Rheinland-Pfalz vernichtet worden.

Nachtrag vom 27. August 2010, 12:45 Uhr:

Schlecker äußerte gegenüber Golem.de: "Das Datenleck wurde sofort entdeckt und umgehend geschlossen". Zudem sei es, wie Tobias Huch erklärte hatte, nicht auf den Servern von Schlecker, sondern bei einem externen Dienstleister aufgetreten.

Dort vermutet die Drogeriekette aber eine ganz andere undichte Stelle: "Der illegale Zugriff war offenbar nach einem internen Angriff möglich", meint Schlecker. Deshalb habe das Unternehmen bereits Anzeige gegen unbekannt erstattet. Die Daten seien zudem nicht öffentlich einsehbar gewesen, sondern "nur durch technisch versierte Personen mit genauer Kenntnis der Quelle." Es habe deshalb nur wenige unbefugte Zugriffe auf die Daten gegeben.

Schlecker bedauert die bei den betroffenen Kunden entstandenen Unannehmlichkeiten und will sich mit diesen Menschen in Verbindung setzen. Nach Darstellung von Schlecker waren "keine sensiblen Kundendaten wie etwa Passwörter, Kontonummern oder andere Zahlungsdaten sowie Kaufinformationen in den Datensätzen enthalten". Das widerspricht der Darstellung von Bild, die von "Kundenprofilen" mitsamt Einkaufsverhalten berichtete.


eye home zur Startseite
Xystec 29. Aug 2010

Sind es nicht gerade die Leute, die ihr Haus nie verlassen, diejenigen, welche...

GodsBoss 28. Aug 2010

Eben, ich habe auch immer eine falsche Adresse angegeben. Zum Glück, das ist sowieso ein...

samy 28. Aug 2010

Sonst müsste schon "damals bereits geschlossen" heißen, tja die deutsche Sprache ist...

dfadfasdfasdfasdf 28. Aug 2010

und die Mails landen ja dann eh in den Spamfiltern ;) Das geht recht leicht, muss ja nur...

samy 27. Aug 2010

da sind die ganzen Einbrecher und Kriminellen die Schlecker überfallen bzw. einbrechen...

Kommentieren


Voola / 27. Aug 2010



Anzeige

  1. Globaler Projektleiter (m/w) SAP Automotive
    über Dr. Maier & Partner GmbH Unternehmensberatung, Süddeutschland
  2. Softwareentwickler für sicherheitsgerichtete Systeme in der Intralogistik (m/w)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
  3. Entwicklungsingenieur / Domain Product Owner / Planning & Realization / Software-Koordination GUI (m/w)
    Daimler AG, Sindelfingen
  4. Teamleiter (m/w) IT-Support
    Bühler Motor GmbH, Nürnberg

Detailsuche



Anzeige
Top-Angebote
  1. NEU: Steam-Sommer-Sale
    (u. a. NBA2K16 9,99€, Doom 35,99€, Fallout 4 29,99€, CS GO 6,99€, Rise of the Tomb Raider...
  2. NEU: Telltale-Spiele bei GOG bis zu 75 Prozent günstiger
    (u. a. Game of Thrones 6,99€)
  3. Erste Custom-Designs der GTX 1070 im Zulauf
    (u. a. MSI Gaming X 8G, Evga ACX 3.0, Gainward Phoenix GS, Gigabyte G1 Gaming uvm.)

Weitere Angebote


Folgen Sie uns
       


  1. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  2. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  3. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  4. Google

    Livestreaming direkt aus der Youtube-App

  5. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen

  6. Boston Dynamics

    Spot Mini, die Roboraffe

  7. Datenrate

    Tele Columbus versorgt fast 840.000 Haushalte mit 400 MBit/s

  8. Supercomputer

    China und Japan setzen auf ARM-Kerne für kommende Systeme

  9. Patent

    Die springenden Icons von Apple

  10. Counter-Strike

    Klage gegen Wetten mit Waffen-Skins



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Mirror's Edge Catalyst im Test Rennen für die Freiheit
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

  1. Re: Bloß nicht!

    jungundsorglos | 23:52

  2. Re: ++ danke...

    Batsbak | 23:48

  3. Whitelisting ist nicht verboten

    lear | 23:37

  4. Re: Glückwunsch an die Briten

    Little_Green_Bot | 23:37

  5. Re: Die ursprünglichen Investitionskosten?

    RipClaw | 23:34


  1. 17:47

  2. 17:01

  3. 16:46

  4. 15:51

  5. 15:48

  6. 15:40

  7. 14:58

  8. 14:31


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel