Sicherheitslücken bei Verivox und Check24 geben Kundendaten preis

Bei den Vergleichsportalen Verivox und Check24 gab es gravierende Sicherheitslücken, über die Unbefugte Zugriff auf vertrauliche Kundendaten hatten. Wie Correctiv berichtet, wurden die Schwachstellen von einem nicht näher genannten Sicherheitsforscher entdeckt, der über den Chaos Computer Club die beiden Unternehmen informierte. Demnach wurden die Datenlecks inzwischen geschlossen.

Im Gespräch mit Correctiv erklärte der Forscher, er sei über die Sicherheitslücken „gestolpert“, zuerst bei Check24 und später bei Verivox. Der Fehler sei zudem „trivial“. „Was diese beiden Sicherheitslücken für mich besonders gravierend macht, ist der stümperhafte Umgang mit Daten von Kundinnen und Kunden“, wird der IT-Experte in dem Bericht zitiert.

Der Fehler trat beim Kreditvergleich der beiden Portale auf. Auch war eine Registrierung nicht notwendig – bereits ein als Gast angemeldeter Nutzer hatte Zugriff auf Daten anderer Kunden. Dem Bericht zufolge musste lediglich eine Nummer am Ende der URL des eigenen Kreditvergleichs hoch- oder runtergezählt werden, um den Kreditvergleich eines anderen Kunden abrufen zu können.

Ein solcher Kreditvergleich erhält unter anderem Daten wie Namen und Anschriften, Einkommen, Zahl der Kinder und Details zum Arbeitsverhältnis. Bei Check24 waren der Abruf der Daten durch ein Passwort geschützt – allerdings nutzte Check24 dasselbe Passwort für alle Kunden. Verivox verzichtete indes auf ein Kennwort.

Beide Unternehmen räumten die Sicherheitslücken gegenüber Correctiv ein. Ihren Stellungnahmen zufolge wurden die Fehler kurzfristig behoben. Zur Zahl der möglicherweise Betroffenen machten beide Portale keine Angaben.

„Es ist schon bemerkenswert, dass zwei so große Portale, die nichts weiter machen als Daten zu sammeln und an Banken weiterzugeben, solche Anfängerfehler machen, die eigentlich gar nicht passieren dürfen“, kommentierte ein Sprecher des Chaos Computer Club.

„Besonders bitter ist dabei, dass solche Vorfälle relativ leicht vermeidbar wären – so auch in diesem Fall. ‚Security by Design‘, also ein Software-Entwicklungsprozess, der Sicherheit von Anfang an konsequent einbezieht, bleibt jedoch leider weiterhin die Ausnahme“, sagte Thomas Scherm, Leiter IT Security bei codecentric. „Die Einführung eines Secure Software Development Lifecycle (SSDLC) ist aufwendig, da kontinuierliche Tests und regelmäßige Überprüfungen neuer Funktionen auf Sicherheitslücken notwendig sind. Viele Unternehmen scheuen diesen Aufwand indes und wählen stattdessen den reaktiven Weg. Sie handeln erst, wenn Sicherheitslücken bereits Schaden angerichtet haben – oft zu spät, wie es die aktuellen Datenlecks bei Check24 und Verivox deutlich machen.“