• IT-Karriere:
  • Services:

EOS Schweiz: Daten von Zehntausenden Inkassokunden kompromittiert

Eine Sicherheitslücke in Apache Struts soll dazu geführt haben, dass 33.000 Daten von Schweizer Kunden des Inkassodienstes Eos kompromittiert wurden. Darunter sollen sich neben Ausweiskopien auch ganze Krankenakten befinden.

Artikel veröffentlicht am ,
Beim Inkassodienst Eos gab es eine Sicherheitslücke.
Beim Inkassodienst Eos gab es eine Sicherheitslücke. (Bild: Eos)

Eine Sicherheitslücke in einem Server soll dazu geführt haben, dass rund 33.000 Kundendatensätze der Inkassofirma Eos von Dritten eingesehen werden konnten, wie die Süddeutsche Zeitung berichtet. Die Zeitung schreibt, ihr seien entsprechende Dateien von Informanten zugespielt worden. Betroffen sind nach derzeitigem Kenntnisstand nur Kunden aus der Schweiz, auch wenn Eos in Deutschland ebenfalls Inkassodienste anbietet.

Stellenmarkt
  1. operational services GmbH & Co. KG, verschiedene Standorte
  2. operational services GmbH & Co. KG, Frankfurt am Main

Die erhobenen Informationen sollen zum Teil sehr alt sein und bis ins Jahr 2002 zurückreichen. Wenn die Schuld beglichen ist, müssten private Informationen eigentlich gelöscht werden, es sei denn sie unterliegen einer gesetzlichen Aufbewahrungspflicht.

Besonders bedenklich ist offenbar ein Ordner mit dem Namen Upload. Darin sollen sich nach Darstellung der SZ "ganze Krankenakten" befinden, wenn Krankenhäuser ausstehende Beträge von Patienten einforderten. In den Akten seien unter anderem Informationen über Vorerkrankungen der Patienten zu finden. Eos soll weiterhin Scans von Ausweisen und detaillierte Kreditkartenabrechnungen aufbewahrt haben.

Damit das Unternehmen die geschuldeten Beiträge eintreiben kann, ist eine solch Detailkenntnis aber eigentlich nicht erforderlich. Es reicht, wenn das beauftragende Unternehmen Informationen zur Forderung an sich sowie die Kontaktdaten der betreffenden Person weitergibt. Der Schweizer Datenschutzbeauftragte Adrian Lobsiger nannte das Verhalten von Eos daher auch "unverhältnismäßig und somit nicht zulässig".

Hack über Schwachstelle im Server

Die Informationen sollen über eine Schwachstelle im Server von Eos abgeflossen sein. Besonders brisant: Dabei wurde offenbar die gleiche Schwachstelle in Apache Struts ausgenutzt, die schon zum Hack beim US-Konzern Equifax führte. Der Server soll mittlerweile neu aufgesetzt worden sein.

Eos gibt an, dass zwar im April dieses Jahres bemerkt worden sei, dass "ungewöhnlich viele Pakete" an fremde Rechner gesendet worden seien, konkrete Beweise für einen Hack will man aber bisher nicht haben. Eos stuft den Vorfall daher bislang lediglich als "Verdachtsfall" ein.

Eos sagte der SZ, man habe "eine umfassende Revision der Prozesse angeordnet", um zu klären, warum die Daten überhaupt so detailliert erhoben und gespeichert würden. Auf telefonische Anfrage von Golem.de gab eine Sprecherin an, dass derzeit eine detaillierte interne Prüfung laufe. Wir haben dem Unternehmen eine Reihe von Fragen per E-Mail geschickt.

Nachtrag vom 27. Dezember 2017, 18:17 Uhr

Auf Anfrage von Golem.de teilte das Unternehmen mit: "Nach bisherigem Kenntnisstand unserer internen und externen Analysen hat kein unberechtigter Datenabfluss bei Eos Schweiz stattgefunden. Wir wurden von der Süddeutschen Zeitung am 18.12.2017 darüber informiert, dass der Redaktion Daten von einer Plattform von Eos Schweiz vorlägen. Wir selbst haben diese von der SZ benannten Daten nicht gesehen." Man habe eine forensische Untersuchung eingeleitet, deren Ergebnisse allerdings noch nicht vorliege.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

Schrödinger's... 30. Dez 2017

Nur dass das keine unnötig belastende Klage wäre.

klas 28. Dez 2017

KUNDEN gibt es überall ;-)) werd einmal arbeitslos...

Rulf 28. Dez 2017

krankenakten bei einem inkassodienst zu suchen... hier sollte mal zur abschreckung mit...

DonPanda 28. Dez 2017

topkek. ich hab in nem anderen thread gefragt, wie man vorgehen kann. die sz reagiert...

Anonymer Nutzer 27. Dez 2017

Teilweise. Schuld hat hier das jeweilige Krankenhaus das komplette Akten durch die...


Folgen Sie uns
       


Complex Event Processing: Informationen fast in Echtzeit auswerten
Complex Event Processing
Informationen fast in Echtzeit auswerten

Ob autonomes Fahren, Aktienhandel oder Onlineshopping: Soll das Ergebnis gut sein, müssen Informationen quasi in Echtzeit ausgewertet werden. Eine gute Lösung dafür: CEP.
Von Boris Mayer

  1. Ubuntu Canonical unterstützt Flutter-Framework unter Linux
  2. Musik Software generiert Nirvana-Songtexte
  3. mmap Codeanalyse mit sechs Zeilen Bash

Kumpan im Test: Aussehen von gestern, Technik von morgen
Kumpan im Test
Aussehen von gestern, Technik von morgen

Mit der Marke Kumpan Electric wollen drei Brüder aus Remagen den Markt für elektrische Roller erobern. Sie setzen auf den Look der deutschen Wirtschaftswunderjahre, wir haben ein Modell getestet.
Ein Praxistest von Dirk Kunde

  1. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis
  2. Mobility Swapfiets testet Elektroroller im Abo
  3. Elektromobilität Volabo baut Niedrigspannungsmotor in Serie

HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
HTTPS/TLS
Zwischenzertifikate von Tausenden Webseiten fehlerhaft

Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.
Von Hanno Böck

  1. Nach Safari Chrome und Firefox wollen nur noch einjährige Zertifikate
  2. Sicherheitslücke GnuTLS setzt Session-Keys auf null
  3. Sectigo Abgelaufenes Root-Zertifikat entfacht Ärger

    •  /