Abo
  • Services:

Kundendaten: Datenleck bei der Deutschen Post

Eine Datenbank mit 200.000 Umzugsmitteilungen der Post lag ungeschützt im Netz. Tausende andere Firmen aus aller Welt haben exakt den gleichen Fehler gemacht.

Artikel von Hanno Böck/Zeit Online veröffentlicht am
Die Daten von 200.000 Kunden der Deutschen Post waren aufgrund eines Fehlers im Internet abrufbar.
Die Daten von 200.000 Kunden der Deutschen Post waren aufgrund eines Fehlers im Internet abrufbar. (Bild: Deutsche Post/Screenshot: Golem.de)

Die Deutsche Post betreibt ein Portal, auf dem Menschen nach einem Umzug ihre neue Anschrift hinterlassen können: umziehen.de lautet die Adresse der Website. Mittels einer sogenannten Umzugsmitteilung informiert die Post dann automatisch diverse Dienstleister wie Banken oder Versicherungen über die neue Adresse. Fraglos ein nützlicher Service. Bei der Sicherheit ihres Portals hat die Post jedoch gewaltig geschlampt. Aufgrund eines simplen Fehlers waren die Adressdaten von etwa 200.000 Kunden problemlos im Internet abrufbar.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. BSH Hausgeräte GmbH, Traunreut

Die Post bestätigt auf Anfrage den Vorfall: "Im Rahmen eines Sicherheitsupdates unseres Umzugsportals umziehen.de ist eine Kopie der Datenbankeinträge erstellt worden, die im Anschluss des Updates entgegen unserer Sicherheitsstandards aufgrund menschlichen Versagens nicht gelöscht wurde und anschließend für Nutzer mit Expertenwissen zugänglich war." Tatsächlich war wirkliches Expertenwissen nicht nötig. Die Datenbank ließ sich einfach herunterladen. Dafür musste man nur ihren Dateinamen kennen, er lautete "dump.sql".

Abgeschrieben aus der MySQL-Dokumentation

Warum dieser Dateiname verwendet wird, ist leicht zu erklären: In der Dokumentation der weit verbreiteten Datenbanksoftware MySQL wird er in einem Beispiel verwendet. Bei der Post hat jemand genau nach diesem Beispiel eine Kopie der Datenbank angelegt und offenbar versehentlich direkt auf dem Webserver abgelegt. Herunterladen konnte man sie einfach, indem man die Webadresse https://www.umziehen.de/dump.sql aufrief.

Die Post hat die Datenbankkopie nach einem entsprechenden Hinweis von mir schnell entfernt. Doch das Problem betrifft auch viele andere Websites. Durch schlichtes Ausprobieren von typischen Dateinamen konnte ich nicht nur auf die Datenbank der Post, sondern auf mehr als 2.000 weitere Datenbanken zugreifen. Soweit möglich, habe ich versucht, die Webhoster der entsprechenden Seiten zu informieren.

Offen im Netz: Wer bestellte welche Medikamente?

Einen besonders großen Datensatz hatte Pharmacy Online Australia auf seinem Server liegen. In der Datenbank der australischen Onlineapotheke fanden sich nicht nur 600.000 Kundenadressen, sondern auch Details über Bestellungen von Medikamenten. Extrem sensible Daten, die auf keinen Fall in falsche Hände geraten sollten.

Weitere große Datenbanken entdeckte ich bei Beckertime, einem Verkäufer von Rolex-Uhren, bei einem US-Spielwarenhändler, beim deutschen Elektronik-Versandhandel IT-Market sowie bei Revell-shop.de, einem Versandhandel für Modellbau (der aber nicht von der Revell GmbH betrieben wird). Kundenadressen und teilweise auch Kontodaten von Hunderttausenden Menschen hätte jeder abrufen können, der nach Dateien mit dem Namen dump.sql sucht. Inzwischen haben die Firmen reagiert und die Datenbankkopien abgesichert.

Es ist davon auszugehen, dass die Datenbanken in vielen Fällen zuvor von jemand anderem heruntergeladen wurden. Dafür spricht zumindest meine Erfahrung. Zur Erklärung: Auf Webservern werden üblicherweise alle Zugriffsversuche zumindest für einige Tage in Logdateien gespeichert. Jeder, der selbst eine Webseite betreibt, kann so feststellen, ob es entsprechende Versuche mit nicht öffentlichen Dateinamen gab. Eine Suche in meinen eigenen Serverlogs ergab, dass in der Vergangenheit immer mal wieder jemand nach entsprechenden Dateien gesucht hat. Ob es sich dabei um IT-Sicherheitsforscher oder Kriminelle handelte, ist schwer zu sagen.

Die Deutsche Post hat bereits damit begonnen, die betroffenen Kunden über den Vorfall zu informieren. In der Mitteilung heißt es: "Jemandem mit entsprechender Fachkenntnis wäre es für kurze Zeit möglich gewesen, Kenntnis von Ihren Angaben (Name, alte und neue Adresse, Umzugsdatum, E-Mail-Adresse) zu erlangen. Der Fehler wurde innerhalb weniger Minuten nach Bekanntwerden behoben. Wir können nicht ausschließen, dass in dieser Zeit unbefugt Einblick in Ihre Daten genommen wurde."

Auch Revell-shop.de teilte mit, umgehend alle Kunden informieren zu wollen. Der Sprecher des Versandhändlers IT-Market hingegen sagte, er gehe anhand seiner Logdateien davon aus, dass es keine anderen Versuche gegeben hat, die Datenbank herunterzuladen: "Wir sehen aus diesem Grund davon ab, unsere Kunden zu informieren." Der Spielwarenhändler aus den USA hat auch nach mehreren Tagen meine Anfragen nicht beantwortet und die Datenbank bisher auch nicht entfernt. Die anderen Firmen haben bislang keine Stellungnahme abgegeben.



Anzeige
Spiele-Angebote
  1. 21,99€
  2. 24,99€
  3. 17,49€

DarkXTC 20. Jul 2017

Und wenn du für die Verbindung vom Webserver zur DB wieder n Loch in deine Firewall...

Füchslein 13. Jul 2017

Ich gebe der Post recht: das ist Expertenwissen. Das sich auf diesem Portal hier die...

derdiedas 10. Jul 2017

Noch nicht :-) Aber GDPR kommt am 25. Mai nächsten Jahres. Und dann sind Strafen von 20...

RipClaw 07. Jul 2017

Das wurde nichts falsch konfiguriert. Das ist normal so und auch alle anderen Webserver...

LSB_im_T 06. Jul 2017

Der arme Tropf hat das mit "Backup in der Cloud sichern " einfach falsch interpretiert...


Folgen Sie uns
       


Golem.de bastelt, spielt und entdeckt Nintendo Labo

Nintendo Labo soll mehr sein als eine neue Videospielmarke. Auf dem Anspiel-Event in Hamburg haben wir gebastelt, gespielt und die Funktionsweise von Karton-Klavier bis Robo-Rucksack erkundet.

Golem.de bastelt, spielt und entdeckt Nintendo Labo Video aufrufen
Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

    •  /