Check24 und Verivox: Daten von Kreditnehmern leicht zugänglich im Netz
Ein anonymer IT-Experte hat bei den Vergleichsportalen Check24 und Verivox offenbar gravierende Sicherheitslücken entdeckt. Einem Bericht von Correctiv(öffnet im neuen Fenster) zufolge waren im Bereich Kreditvermittlung persönliche Daten von Nutzern der beiden Plattformen bis vor wenigen Monaten für Unbefugte leicht zugänglich. Genannt wurden Daten wie Namen und Adressen sowie Angaben zum jeweiligen Arbeitsverhältnis, Einkommen und die Anzahl der Kinder.
Da der Hinweisgeber aufgrund möglicher juristischer Konsequenzen anonym bleiben wollte, meldete er die Lücken an den Chaos Computer Club (CCC), der die Informationen wiederum an die betroffenen Unternehmen weitergab. Nach Angaben des CCC(öffnet im neuen Fenster) konnten bei beiden Vergleichsportalen Darlehensverträge von Kreditinteressierten heruntergeladen werden.
Dem Correctiv-Bericht zufolge gelang der Zugriff auf die PDF-Dokumente mit den Daten der Kunden durch Hoch- oder Herunterzählen einer Nummer in der zugehörigen URL. Im Falle von Check24 war dafür dem Bericht zufolge ein Passwort erforderlich, das jedoch für alle Kunden gleich war. Bei Verivox gab es demnach keinen solchen Passwortschutz.
Nach Angaben des Entdeckers war für den Datenzugriff "keinerlei tieferes technisches Verständnis" nötig. Die Daten seien bei beiden Portalen "einfach offen über das Internet abrufbar" gewesen.
Zugriff auf neue Kreditangebote in Echtzeit
Hinzu kommt allerdings noch eine weitere Sicherheitslücke, die sich auf Check24 beschränkt. Für deren Ausnutzung war laut Correctiv etwas mehr technisches Know-how erforderlich. Sie ermöglichte es Angreifern, per Websocket in Echtzeit und ohne Authentifizierung neu erstellte Darlehensangebote von Nutzern der Plattform abzugreifen.
Den Angaben zufolge waren darin jeweils Informationen wie Name, Geschlecht, Rufnummer, E-Mail-Adresse, Geburtsdatum, Staatsangehörigkeit, Arbeitsverhältnis und die Beschäftigungsdauer beim aktuellen Arbeitgeber enthalten - ebenso wie Einkommensdaten, Kontodaten, beantragter Kreditumfang, seit wann die Person am aktuellen Wohnsitz lebt und ob sie Miete zahlt, ob bereits Kredite abgeschlossen wurden sowie die Anzahl der eigenen Kinder und Fahrzeuge.
"Jeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen, und wie viel Geld sie im Moment für Kredite ausgeben" , kritisierte der CCC und bezeichnete den Vorfall als "Supergau" .
Genaues Ausmaß unbekannt
Wie viele Nutzer tatsächlich von den Datenlecks betroffen sind, ist unklar. Weder Check24 noch Verivox hätten sich dazu geäußert, erklärte Correctiv. Nach Angaben des Entdeckers der Lücken waren ihm zum Zeitpunkt der Feststellung bei Verivox etwa 75.000 Datensätze zugänglich, die ältesten davon vier Monate alt. Bezüglich Check24 liegen keine konkreten Zahlen vor.
Dennoch "könnten bei beiden Portalen bis zu Millionen Nutzer betroffen sein" , hieß es bei Correctiv unter Verweis auf Angaben des IT-Experten. Wie belastbar diese Schätzung ist, ist allerdings ungewiss.
Beide Vergleichsportale haben die Sicherheitslücken dem Bericht zufolge inzwischen behoben. Verivox hat die Hinweise nach eigenen Angaben "sofort geprüft" , die Anwendung zeitweise vom Netz genommen und erst wieder online gestellt, "nachdem eine etwaige Kompromittierung von Daten ausgeschlossen werden konnte" . Check24 bestätigte, das "größte Einfallstor" sei noch am Tag der Meldung geschlossen worden, weitere Fehler habe das Unternehmen in den darauffolgenden Tagen beseitigt.
Sowohl der CCC als auch die beiden betroffenen Unternehmen meldeten die Sicherheitslücken nach eigenen Angaben an die zuständigen Datenschutzbehörden. Beide Vergleichsportale gaben an, im Rahmen ihrer Untersuchungen keine unbefugten Zugriffe auf die Daten ihrer Nutzer festgestellt zu haben.