Abo
  • Services:

EOS Schweiz: Daten von Zehntausenden Inkassokunden kompromittiert

Eine Sicherheitslücke in Apache Struts soll dazu geführt haben, dass 33.000 Daten von Schweizer Kunden des Inkassodienstes Eos kompromittiert wurden. Darunter sollen sich neben Ausweiskopien auch ganze Krankenakten befinden.

Artikel veröffentlicht am ,
Beim Inkassodienst Eos gab es eine Sicherheitslücke.
Beim Inkassodienst Eos gab es eine Sicherheitslücke. (Bild: Eos)

Eine Sicherheitslücke in einem Server soll dazu geführt haben, dass rund 33.000 Kundendatensätze der Inkassofirma Eos von Dritten eingesehen werden konnten, wie die Süddeutsche Zeitung berichtet. Die Zeitung schreibt, ihr seien entsprechende Dateien von Informanten zugespielt worden. Betroffen sind nach derzeitigem Kenntnisstand nur Kunden aus der Schweiz, auch wenn Eos in Deutschland ebenfalls Inkassodienste anbietet.

Stellenmarkt
  1. Entgelt und Rente AG, Langenfeld
  2. Techniker Krankenkasse, Hamburg

Die erhobenen Informationen sollen zum Teil sehr alt sein und bis ins Jahr 2002 zurückreichen. Wenn die Schuld beglichen ist, müssten private Informationen eigentlich gelöscht werden, es sei denn sie unterliegen einer gesetzlichen Aufbewahrungspflicht.

Besonders bedenklich ist offenbar ein Ordner mit dem Namen Upload. Darin sollen sich nach Darstellung der SZ "ganze Krankenakten" befinden, wenn Krankenhäuser ausstehende Beträge von Patienten einforderten. In den Akten seien unter anderem Informationen über Vorerkrankungen der Patienten zu finden. Eos soll weiterhin Scans von Ausweisen und detaillierte Kreditkartenabrechnungen aufbewahrt haben.

Damit das Unternehmen die geschuldeten Beiträge eintreiben kann, ist eine solch Detailkenntnis aber eigentlich nicht erforderlich. Es reicht, wenn das beauftragende Unternehmen Informationen zur Forderung an sich sowie die Kontaktdaten der betreffenden Person weitergibt. Der Schweizer Datenschutzbeauftragte Adrian Lobsiger nannte das Verhalten von Eos daher auch "unverhältnismäßig und somit nicht zulässig".

Hack über Schwachstelle im Server

Die Informationen sollen über eine Schwachstelle im Server von Eos abgeflossen sein. Besonders brisant: Dabei wurde offenbar die gleiche Schwachstelle in Apache Struts ausgenutzt, die schon zum Hack beim US-Konzern Equifax führte. Der Server soll mittlerweile neu aufgesetzt worden sein.

Eos gibt an, dass zwar im April dieses Jahres bemerkt worden sei, dass "ungewöhnlich viele Pakete" an fremde Rechner gesendet worden seien, konkrete Beweise für einen Hack will man aber bisher nicht haben. Eos stuft den Vorfall daher bislang lediglich als "Verdachtsfall" ein.

Eos sagte der SZ, man habe "eine umfassende Revision der Prozesse angeordnet", um zu klären, warum die Daten überhaupt so detailliert erhoben und gespeichert würden. Auf telefonische Anfrage von Golem.de gab eine Sprecherin an, dass derzeit eine detaillierte interne Prüfung laufe. Wir haben dem Unternehmen eine Reihe von Fragen per E-Mail geschickt.

Nachtrag vom 27. Dezember 2017, 18:17 Uhr

Auf Anfrage von Golem.de teilte das Unternehmen mit: "Nach bisherigem Kenntnisstand unserer internen und externen Analysen hat kein unberechtigter Datenabfluss bei Eos Schweiz stattgefunden. Wir wurden von der Süddeutschen Zeitung am 18.12.2017 darüber informiert, dass der Redaktion Daten von einer Plattform von Eos Schweiz vorlägen. Wir selbst haben diese von der SZ benannten Daten nicht gesehen." Man habe eine forensische Untersuchung eingeleitet, deren Ergebnisse allerdings noch nicht vorliege.



Anzeige
Spiele-Angebote
  1. 49,86€
  2. 2,49€
  3. 24,99€
  4. 5,99€

Schrödinger's... 30. Dez 2017

Nur dass das keine unnötig belastende Klage wäre.

klas 28. Dez 2017

KUNDEN gibt es überall ;-)) werd einmal arbeitslos...

Rulf 28. Dez 2017

krankenakten bei einem inkassodienst zu suchen... hier sollte mal zur abschreckung mit...

DonPanda 28. Dez 2017

topkek. ich hab in nem anderen thread gefragt, wie man vorgehen kann. die sz reagiert...

rugel 27. Dez 2017

Teilweise. Schuld hat hier das jeweilige Krankenhaus das komplette Akten durch die...


Folgen Sie uns
       


Xiaomi Mi 9 - Hands on (MWC 2019)

Xiaomi bringt das Mi 9 nach Europa. Der Europastart wurde auf dem Mobile World Congress 2019 in Barcelona verkündet. Das Topsmartphone hat eine Triple-Kamera mit bis zu 48 Megapixeln. Es liefert für einen Preis ab 450 Euro eine sehr gute technische Ausstattung.

Xiaomi Mi 9 - Hands on (MWC 2019) Video aufrufen
Google: Stadia tritt gegen Gaming-PCs, Playstation und Xbox an
Google
Stadia tritt gegen Gaming-PCs, Playstation und Xbox an

GDC 2019 Google streamt nicht nur so ein bisschen - stattdessen tritt der Konzern mit Stadia in direkte Konkurrenz zur etablierten Spielebranche. Entwickler können für ihre Games mehr Teraflops verwenden als auf der PS4 Pro und der Xbox One X zusammen.
Von Peter Steinlechner


    Fido-Sticks im Test: Endlich schlechte Passwörter
    Fido-Sticks im Test
    Endlich schlechte Passwörter

    Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
    Ein Test von Moritz Tremmel

    1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
    2. Webauthn Standard für passwortloses Anmelden verabschiedet
    3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

    Security: Vernetzte Autos sicher machen
    Security
    Vernetzte Autos sicher machen

    Moderne Autos sind rollende Computer mit drahtloser Internetverbindung. Je mehr davon auf der Straße herumfahren, desto interessanter werden sie für Hacker. Was tun Hersteller, um Daten der Insassen und Fahrfunktionen zu schützen?
    Ein Bericht von Dirk Kunde

    1. Alarmsysteme Sicherheitslücke ermöglicht Übernahme von Autos
    2. Netzwerkanalyse Wireshark 3.0 nutzt Paketsniffer von Nmap
    3. Sicherheit Wie sich "Passwort zurücksetzen" missbrauchen lässt

      •  /