Abo
  • Services:

EOS Schweiz: Daten von Zehntausenden Inkassokunden kompromittiert

Eine Sicherheitslücke in Apache Struts soll dazu geführt haben, dass 33.000 Daten von Schweizer Kunden des Inkassodienstes Eos kompromittiert wurden. Darunter sollen sich neben Ausweiskopien auch ganze Krankenakten befinden.

Artikel veröffentlicht am ,
Beim Inkassodienst Eos gab es eine Sicherheitslücke.
Beim Inkassodienst Eos gab es eine Sicherheitslücke. (Bild: Eos)

Eine Sicherheitslücke in einem Server soll dazu geführt haben, dass rund 33.000 Kundendatensätze der Inkassofirma Eos von Dritten eingesehen werden konnten, wie die Süddeutsche Zeitung berichtet. Die Zeitung schreibt, ihr seien entsprechende Dateien von Informanten zugespielt worden. Betroffen sind nach derzeitigem Kenntnisstand nur Kunden aus der Schweiz, auch wenn Eos in Deutschland ebenfalls Inkassodienste anbietet.

Stellenmarkt
  1. Fritz Kübler GmbH, Villingen-Schwenningen
  2. Viega Holding GmbH & Co. KG, Attendorn, Dortmund

Die erhobenen Informationen sollen zum Teil sehr alt sein und bis ins Jahr 2002 zurückreichen. Wenn die Schuld beglichen ist, müssten private Informationen eigentlich gelöscht werden, es sei denn sie unterliegen einer gesetzlichen Aufbewahrungspflicht.

Besonders bedenklich ist offenbar ein Ordner mit dem Namen Upload. Darin sollen sich nach Darstellung der SZ "ganze Krankenakten" befinden, wenn Krankenhäuser ausstehende Beträge von Patienten einforderten. In den Akten seien unter anderem Informationen über Vorerkrankungen der Patienten zu finden. Eos soll weiterhin Scans von Ausweisen und detaillierte Kreditkartenabrechnungen aufbewahrt haben.

Damit das Unternehmen die geschuldeten Beiträge eintreiben kann, ist eine solch Detailkenntnis aber eigentlich nicht erforderlich. Es reicht, wenn das beauftragende Unternehmen Informationen zur Forderung an sich sowie die Kontaktdaten der betreffenden Person weitergibt. Der Schweizer Datenschutzbeauftragte Adrian Lobsiger nannte das Verhalten von Eos daher auch "unverhältnismäßig und somit nicht zulässig".

Hack über Schwachstelle im Server

Die Informationen sollen über eine Schwachstelle im Server von Eos abgeflossen sein. Besonders brisant: Dabei wurde offenbar die gleiche Schwachstelle in Apache Struts ausgenutzt, die schon zum Hack beim US-Konzern Equifax führte. Der Server soll mittlerweile neu aufgesetzt worden sein.

Eos gibt an, dass zwar im April dieses Jahres bemerkt worden sei, dass "ungewöhnlich viele Pakete" an fremde Rechner gesendet worden seien, konkrete Beweise für einen Hack will man aber bisher nicht haben. Eos stuft den Vorfall daher bislang lediglich als "Verdachtsfall" ein.

Eos sagte der SZ, man habe "eine umfassende Revision der Prozesse angeordnet", um zu klären, warum die Daten überhaupt so detailliert erhoben und gespeichert würden. Auf telefonische Anfrage von Golem.de gab eine Sprecherin an, dass derzeit eine detaillierte interne Prüfung laufe. Wir haben dem Unternehmen eine Reihe von Fragen per E-Mail geschickt.

Nachtrag vom 27. Dezember 2017, 18:17 Uhr

Auf Anfrage von Golem.de teilte das Unternehmen mit: "Nach bisherigem Kenntnisstand unserer internen und externen Analysen hat kein unberechtigter Datenabfluss bei Eos Schweiz stattgefunden. Wir wurden von der Süddeutschen Zeitung am 18.12.2017 darüber informiert, dass der Redaktion Daten von einer Plattform von Eos Schweiz vorlägen. Wir selbst haben diese von der SZ benannten Daten nicht gesehen." Man habe eine forensische Untersuchung eingeleitet, deren Ergebnisse allerdings noch nicht vorliege.



Anzeige
Hardware-Angebote
  1. und 25€ Steam-Gutschein erhalten
  2. (reduzierte Überstände, Restposten & Co.)

Schrödinger's... 30. Dez 2017

Nur dass das keine unnötig belastende Klage wäre.

klas 28. Dez 2017

KUNDEN gibt es überall ;-)) werd einmal arbeitslos...

Rulf 28. Dez 2017

krankenakten bei einem inkassodienst zu suchen... hier sollte mal zur abschreckung mit...

DonPanda 28. Dez 2017

topkek. ich hab in nem anderen thread gefragt, wie man vorgehen kann. die sz reagiert...

rugel 27. Dez 2017

Teilweise. Schuld hat hier das jeweilige Krankenhaus das komplette Akten durch die...


Folgen Sie uns
       


Square Enix E3 2018 Pressekonferenz - Live

Lara Croft steht kurz vor ihrer Metamorphose, Dragon Quest 11 und Final Fantasy 14 erblühen in Europa und zwei ganz neue Spieleserien hat Square Enix auch noch vorgestellt. Wie fanden wir das?

Square Enix E3 2018 Pressekonferenz - Live Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Ingolstadt Flugtaxis sollen in Deutschland erprobt werden
  2. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  3. Cityairbus Mit Siemens soll das Lufttaxi abheben

IT-Jobs: Fünf neue Mitarbeiter in fünf Wochen?
IT-Jobs
Fünf neue Mitarbeiter in fünf Wochen?

Startups müssen oft kurzfristig viele Stellen besetzen. Wir waren bei dem Berliner Unternehmen Next Big Thing dabei, als es auf einen Schlag Bewerber für fünf Jobs suchte.
Ein Bericht von Juliane Gringer

  1. Frauen in IT-Berufen Programmierte Klischees
  2. Bitkom Research Höherer Frauenanteil in der deutschen IT-Branche
  3. Recruiting IT-Experten brauchen harte Fakten

In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
In eigener Sache
Freie Schreiber/-innen für Jobthemen gesucht

IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

  1. Leserumfrage Wie sollen wir Golem.de erweitern?
  2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
  3. Leserumfrage Wie gefällt Ihnen Golem.de?

    •  /