TNS-Infratest-Datenleck größer als gedacht

Fehler erlaubte auch die Manipulation fremder Accounts. Ein Programmierfehler, der zu einem schwerwiegenden Datenschutzproblem beim Marktforschungsinstitut TNS Infratest/Emnid geführt hat, hatte offenbar weiterreichende Folgen als bislang bekannt. So konnten die 40.000 Testkäufer nicht nur die persönlichen Angaben anderer einsehen, sondern auch manipulieren.

14. Juli 2008 um 11:58 Uhr / Achim Sawall

11 Kommentare News folgen (öffnet im neuen Fenster)

Durch den Fehler waren vertrauliche Daten über das Mystery-Shopper-Portal des Unternehmens, wo die Testkäufer ihre Eingaben machen, für Unbefugte einsehbar. Wenn diese sich mit Nutzername und Passwort in die TNS-Datenbank einloggten, erhielten sie eine Session-ID, die Teil der URL war. Tauschte einer der Testkäufer diese gegen die fünfstellige ID eines anderen Nutzers aus, bekam er Schreib- und Leserechte für dessen Account.

Zu den Angaben gehören nicht nur Name, Adresse, Geburtsdatum, Handynummer und Bankverbindung. Das Profil umfasst auch Angaben über den Beruf, das Einkommen, die Wohnsituation, Versicherungen, Auto und sogar über Wertgegenstände im Haushalt. Wie Spiegel Online(öffnet im neuen Fenster) berichtete, waren die Angaben der Mystery-Shopper nicht nur von anderen Testkäufern einsehbar, sie waren auch beliebig manipulierbar. Die Redaktion beruft sich dabei auf David Ehlers, Geschäftsleiter der Forschungs-GmbH Infratest im Bereich Datenbeschaffung.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Leitung – Amt für Digitalisierung und IT (Wirtschaftsinformatik, angewandte Informatik oder Verwaltungsinformatik) Landkreis Rotenburg Haupt- und Personalamt, Rotenburg (Wümme),Homeoffice (öffnet im neuen Fenster)

(Senior-) Data Architekt (m/w/d) Vereinigte Hagelversicherung VVaG, Gießen (öffnet im neuen Fenster)

HPC-Leistungs- und Datenmanagement-Ingenieur*in (m/w/d) Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen, Göttingen (öffnet im neuen Fenster)

Assistenz Projektförderung (m/w/d) Klaus Tschira Stiftung gGmbH, Heidelberg (öffnet im neuen Fenster)

Software Developer Embedded Linux (m/w/d) Ambibox GmbH, Mainz (öffnet im neuen Fenster)

Inhouse IT-Consultant (m/w/d) im Anforderungsmanagement Landesbetrieb Information und Technik Nordrhein-Westfalen (IT.NRW), Münster,Oberhausen,Paderborn,Köln,Düsseldorf,Aachen,Hagen (öffnet im neuen Fenster)

SAP-Berater (m/w/d) Berechtigungsmanagement ivv GmbH, Hannover (öffnet im neuen Fenster)

Full Stack Software Entwickler (m/w/d) Ambibox GmbH, Mainz (öffnet im neuen Fenster)

Laut dessen Angaben habe TNS Infratest/Emnid aber festgestellt, "dass niemand dieses Sicherheitsleck ausgenutzt hat – außer dem Chaos Computer Club (CCC)" . Die Hacker hatten das Meinungsforschungsinstitut über den Fehler informiert , woraufhin die Site vom Netz genommen und die Betroffenen gewarnt wurden.

Unklar ist laut dem Bericht auch, ob nur die über 40.000 Testkäufer von TNS Infratest betroffen waren. So seien auch Personen, die im Onlineportal MySurvey (früher: MyTNS) registriert sind und dort Marktforschungsfragebögen ausgefüllt haben, in der Mystery-Shopper-Datenbank aufgetaucht.

Bis zum Redaktionsschluss dieses Beitrages war von TNS Infratest/Emnid keine Stellungnahme zu erhalten.

Der Bundesdatenschutzbeauftragte Peter Schaar beklagte, diese Vorgängen seien kein Einzelfall. Es gebe viele Fälle, bei denen die Session-ID fortlaufend vergeben werde, sagte er Spiegel Online. So sei das Problem bereits bei Webshops und E-Government-Portalen aufgetreten. "Wenn ein Unternehmen ein Sicherheitsleck entdeckt, sollte es per Gesetz dazu verpflichtet sein, die betroffenen Personen selbstständig aufzuklären" , sagte er. Gegenwärtig klärten Firmen diesen Fehler nur dann auf, wenn Journalisten ihn öffentlich machten.

Zur Startseite 11 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen