Abo
  • IT-Karriere:

EOS Schweiz: Daten von Zehntausenden Inkassokunden kompromittiert

Eine Sicherheitslücke in Apache Struts soll dazu geführt haben, dass 33.000 Daten von Schweizer Kunden des Inkassodienstes Eos kompromittiert wurden. Darunter sollen sich neben Ausweiskopien auch ganze Krankenakten befinden.

Artikel veröffentlicht am ,
Beim Inkassodienst Eos gab es eine Sicherheitslücke.
Beim Inkassodienst Eos gab es eine Sicherheitslücke. (Bild: Eos)

Eine Sicherheitslücke in einem Server soll dazu geführt haben, dass rund 33.000 Kundendatensätze der Inkassofirma Eos von Dritten eingesehen werden konnten, wie die Süddeutsche Zeitung berichtet. Die Zeitung schreibt, ihr seien entsprechende Dateien von Informanten zugespielt worden. Betroffen sind nach derzeitigem Kenntnisstand nur Kunden aus der Schweiz, auch wenn Eos in Deutschland ebenfalls Inkassodienste anbietet.

Stellenmarkt
  1. Hochschule Furtwangen, Furtwangen
  2. TÜV SÜD Gruppe, München

Die erhobenen Informationen sollen zum Teil sehr alt sein und bis ins Jahr 2002 zurückreichen. Wenn die Schuld beglichen ist, müssten private Informationen eigentlich gelöscht werden, es sei denn sie unterliegen einer gesetzlichen Aufbewahrungspflicht.

Besonders bedenklich ist offenbar ein Ordner mit dem Namen Upload. Darin sollen sich nach Darstellung der SZ "ganze Krankenakten" befinden, wenn Krankenhäuser ausstehende Beträge von Patienten einforderten. In den Akten seien unter anderem Informationen über Vorerkrankungen der Patienten zu finden. Eos soll weiterhin Scans von Ausweisen und detaillierte Kreditkartenabrechnungen aufbewahrt haben.

Damit das Unternehmen die geschuldeten Beiträge eintreiben kann, ist eine solch Detailkenntnis aber eigentlich nicht erforderlich. Es reicht, wenn das beauftragende Unternehmen Informationen zur Forderung an sich sowie die Kontaktdaten der betreffenden Person weitergibt. Der Schweizer Datenschutzbeauftragte Adrian Lobsiger nannte das Verhalten von Eos daher auch "unverhältnismäßig und somit nicht zulässig".

Hack über Schwachstelle im Server

Die Informationen sollen über eine Schwachstelle im Server von Eos abgeflossen sein. Besonders brisant: Dabei wurde offenbar die gleiche Schwachstelle in Apache Struts ausgenutzt, die schon zum Hack beim US-Konzern Equifax führte. Der Server soll mittlerweile neu aufgesetzt worden sein.

Eos gibt an, dass zwar im April dieses Jahres bemerkt worden sei, dass "ungewöhnlich viele Pakete" an fremde Rechner gesendet worden seien, konkrete Beweise für einen Hack will man aber bisher nicht haben. Eos stuft den Vorfall daher bislang lediglich als "Verdachtsfall" ein.

Eos sagte der SZ, man habe "eine umfassende Revision der Prozesse angeordnet", um zu klären, warum die Daten überhaupt so detailliert erhoben und gespeichert würden. Auf telefonische Anfrage von Golem.de gab eine Sprecherin an, dass derzeit eine detaillierte interne Prüfung laufe. Wir haben dem Unternehmen eine Reihe von Fragen per E-Mail geschickt.

Nachtrag vom 27. Dezember 2017, 18:17 Uhr

Auf Anfrage von Golem.de teilte das Unternehmen mit: "Nach bisherigem Kenntnisstand unserer internen und externen Analysen hat kein unberechtigter Datenabfluss bei Eos Schweiz stattgefunden. Wir wurden von der Süddeutschen Zeitung am 18.12.2017 darüber informiert, dass der Redaktion Daten von einer Plattform von Eos Schweiz vorlägen. Wir selbst haben diese von der SZ benannten Daten nicht gesehen." Man habe eine forensische Untersuchung eingeleitet, deren Ergebnisse allerdings noch nicht vorliege.



Anzeige
Hardware-Angebote
  1. ab 369€ + Versand
  2. täglich neue Deals bei Alternate.de

Schrödinger's... 30. Dez 2017

Nur dass das keine unnötig belastende Klage wäre.

klas 28. Dez 2017

KUNDEN gibt es überall ;-)) werd einmal arbeitslos...

Rulf 28. Dez 2017

krankenakten bei einem inkassodienst zu suchen... hier sollte mal zur abschreckung mit...

DonPanda 28. Dez 2017

topkek. ich hab in nem anderen thread gefragt, wie man vorgehen kann. die sz reagiert...

rugel 27. Dez 2017

Teilweise. Schuld hat hier das jeweilige Krankenhaus das komplette Akten durch die...


Folgen Sie uns
       


Sony Xperia 1 - Test

Das Xperia 1 eignet sich dank seines breiten OLED-Displays hervorragend zum Filmeschauen. Im Test zeigt Sonys neues Smartphone aber noch weitere Stärken.

Sony Xperia 1 - Test Video aufrufen
Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung
  2. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  3. Leserumfrage Wie können wir dich unterstützen?

Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.

  1. Satellitennavigation Galileo ist wieder online

    •  /