• IT-Karriere:
  • Services:

TNS-Infratest-Datenleck größer als gedacht

Fehler erlaubte auch die Manipulation fremder Accounts

Ein Programmierfehler, der zu einem schwerwiegenden Datenschutzproblem beim Marktforschungsinstitut TNS Infratest/Emnid geführt hat, hatte offenbar weiterreichende Folgen als bislang bekannt. So konnten die 40.000 Testkäufer nicht nur die persönlichen Angaben anderer einsehen, sondern auch manipulieren.

Artikel veröffentlicht am ,

Durch den Fehler waren vertrauliche Daten über das Mystery-Shopper-Portal des Unternehmens, wo die Testkäufer ihre Eingaben machen, für Unbefugte einsehbar. Wenn diese sich mit Nutzername und Passwort in die TNS-Datenbank einloggten, erhielten sie eine Session-ID, die Teil der URL war. Tauschte einer der Testkäufer diese gegen die fünfstellige ID eines anderen Nutzers aus, bekam er Schreib- und Leserechte für dessen Account.

Stellenmarkt
  1. itsc GmbH, Hannover
  2. HiPP-Werk Georg Hipp OHG, Pfaffenhofen Raum Ingolstadt

Zu den Angaben gehören nicht nur Name, Adresse, Geburtsdatum, Handynummer und Bankverbindung. Das Profil umfasst auch Angaben über den Beruf, das Einkommen, die Wohnsituation, Versicherungen, Auto und sogar über Wertgegenstände im Haushalt. Wie Spiegel Online berichtete, waren die Angaben der Mystery-Shopper nicht nur von anderen Testkäufern einsehbar, sie waren auch beliebig manipulierbar. Die Redaktion beruft sich dabei auf David Ehlers, Geschäftsleiter der Forschungs-GmbH Infratest im Bereich Datenbeschaffung.

Laut dessen Angaben habe TNS Infratest/Emnid aber festgestellt, "dass niemand dieses Sicherheitsleck ausgenutzt hat - außer dem Chaos Computer Club (CCC)". Die Hacker hatten das Meinungsforschungsinstitut über den Fehler informiert, woraufhin die Site vom Netz genommen und die Betroffenen gewarnt wurden.

Unklar ist laut dem Bericht auch, ob nur die über 40.000 Testkäufer von TNS Infratest betroffen waren. So seien auch Personen, die im Onlineportal MySurvey (früher: MyTNS) registriert sind und dort Marktforschungsfragebögen ausgefüllt haben, in der Mystery-Shopper-Datenbank aufgetaucht.

Bis zum Redaktionsschluss dieses Beitrages war von TNS Infratest/Emnid keine Stellungnahme zu erhalten.

Der Bundesdatenschutzbeauftragte Peter Schaar beklagte, diese Vorgängen seien kein Einzelfall. Es gebe viele Fälle, bei denen die Session-ID fortlaufend vergeben werde, sagte er Spiegel Online. So sei das Problem bereits bei Webshops und E-Government-Portalen aufgetreten. "Wenn ein Unternehmen ein Sicherheitsleck entdeckt, sollte es per Gesetz dazu verpflichtet sein, die betroffenen Personen selbstständig aufzuklären", sagte er. Gegenwärtig klärten Firmen diesen Fehler nur dann auf, wenn Journalisten ihn öffentlich machten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. ab 30,00€
  2. (aktuell u. a. Xiaomi Mi Note 10 128GB Handy für 499,00€ und HP 25x LED-Monitor für 179,90€)
  3. (u. a. Battlefield V für 21,49€ und Star Wars Jedi: Fallen Order für 52,99€)
  4. (u. a. Quantum Break für 7,99€ und The Flame in the Flood für 2,99€)

marcel83 14. Jul 2008

Session-ID + Forlaufend? Wo ist sowas denn möglich bzw. wer macht sowas? Ich denke unser...

johnmcwho 14. Jul 2008

Es gibt noch viele andere Unternehmen bei denen das Zutrifft. Ist schon erschreckend wie...

adlerweb2 14. Jul 2008

Gegenfrage: Was kann denn Gutes damit "gemacht werden"? Welche Vorteile hat es die Daten...

Diedaa 14. Jul 2008

wie LimeSurvey oder Inquery auf nem eigenen Server... dann gibbet auch keine Probleme...


Folgen Sie uns
       


iOS 13 ausprobiert

Apple hat iOS 13 offiziell vorgestellt. Die neue Version des mobilen Betriebssystems bringt unter anderem den Dark Mode sowie zahlreiche Verbesserungen einzelner Apps.

iOS 13 ausprobiert Video aufrufen
HR-Analytics: Weshalb Mitarbeiter kündigen
HR-Analytics
Weshalb Mitarbeiter kündigen

HR-Analytics soll vorhersagbare und damit wertvollere Informationen liefern als reine Zahlen aus dem Controlling. Diese junge Disziplin im Personalwesen hat großes Potenzial, weil sie Personaler in die Lage versetzt, zu agieren, statt zu reagieren.
Ein Bericht von Peter Ilg

  1. Frauen in der IT Ist Logik von Natur aus Männersache?
  2. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  3. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen

Von Microsoft zu Linux und zurück: Es gab bei Limux keine unlösbaren Probleme
Von Microsoft zu Linux und zurück
"Es gab bei Limux keine unlösbaren Probleme"

Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.
Ein Interview von Jan Kleinert


    Raumfahrt: Mehr Geld für die Raumfahrt reicht nicht aus
    Raumfahrt
    Mehr Geld für die Raumfahrt reicht nicht aus

    Eine mögliche leichte Senkung des deutschen Beitrags zur Esa bringt nicht die Raumfahrt in Gefahr. Deren heutige Probleme sind Resultat von Fehlentscheidungen, die hohe Kosten und Ausgaben nach sich ziehen. Zuerst braucht es Reformen statt noch mehr Geld.
    Ein IMHO von Frank Wunderlich-Pfeiffer

    1. Space Rider Neuer Anlauf für eine eigene europäische Raumfähre
    2. Vega Raketenabsturz lässt Fragen offen

      •  /