Datenleck bei Otto, Media Markt, Idealo & Co. – Was Sie jetzt wissen müssen
Ein IT-Spezialist findet bei Otto, Idealo, Media Markt und Co. ein riesiges Datenleck. Doch die Plattformen weisen die Verantwortung von sich.
Kassel – Nicht immer sind nur die großen amerikanischen Internet-Konzerne von Datenlecks betroffen. Erst im vergangenen Jahr wurde bei Facebook ein Leck mit 500.000 Nutzerdaten öffentlich. Bei der Wartung im Auftrag eines deutschen Online-Händlers hat ein Programmierer bereits Mitte vergangenen Jahres ein riesiges Datenleck bei großen Online-Marktplätzen wie Media Markt* entdeckt. Betroffen sind schätzungsweise mehr als 700.000 Nutzer in Deutschland.
Nutzerdaten folgender Online-Marktplätze standen wohl bereits seit mehreren Jahren ungeschützt im Internet:
- Otto
- Kaufland (früher real)
- Media Markt
- Check24
- Tyre24
- idealo
- hood
- Crowdfox
Kriminellen wäre es somit ein Leichtes gewesen, die Daten zu entwenden und für Betrugsversuche zu missbrauchen. Ob dies geschehen ist, das ist bislang jedoch unklar. Unten den Daten befinden sich laut tagesschau.de Mail- und Postadressen, Bestellinformationen, Telefonnummern und teilweise sogar Bankverbindungen. Ob auch Passwörter betroffen sind, ist unklar.
Riesiges Datenleck bei Otto, Mediamarkt und Co.: Marktplätze schieben Datenschutz auf Händler ab
Obwohl der Fall spätestens im Juli 2021 bekannt wurde, wissen die meisten betroffenen Nutzer darüber immer noch nicht Bescheid. Das SWR-Investigativformat Plusminus hat die Sicherheitslücke daher in seiner neuesten Sendung (12.01.2022) thematisiert. Demnach haben die großen Handelsplattformen ihre Nutzer bis heute nicht über das Datenleck informiert.
Die Plattformen sehen sich im Recht und verweisen auf die einzelnen Händler, die sich über Schnittstellen mit ihren Plattformen verbinden. Sie selbst seien für die Marktplätze datenschutzrechtlich nicht verantwortlich. Kaufland erklärt gegenüber Plusminus, man sei nur „Vermittler zwischen Kunden und Händlern“. Die Händler seien die direkten Vertragspartner der Kunden. Daher seien die Händler auch für den Schutz der Kundendaten verantwortlich. Bei einer IT-Firma, die eine Schnittstelle zu den Handels-Plattformen bereitstellt, war es zu einem Datenleck gekommen.
Der Landesdatenschutzbeauftragte von Baden-Württemberg, Stefan Brink, sieht in dem Vorgehen der Online-Marktplätze laut Plusminus einen „schwerwiegenden und skandalösen Vorgang“. Die Kunden hätten über das Datenleck informiert werden müssen.
Was Experten nach dem Datenleck empfehlen: Verdächtige Kontobewegungen überprüfen
Doch was können potenziell betroffene Kunden jetzt machen? Datenschützer Stefan Brink rät ihnen, ihr Bankkonto im Auge zu haben und auf verdächtige Abbuchungen zu prüfen. Darüber hinaus gelte Vorsicht bei Phishing-E-Mails. Bei dieser Masche geben Kriminelle mit täuschend echten Anschreiben vor, im Namen eines offiziellen Online-Shops zu schreiben. Dabei sollen die Kunden persönliche Daten, wie zum Beispiel Passwörter, auf einer präparierten Website eingeben, die die Betrüger dann abfischen. Entsprechende Mails sollte man löschen und keinesfalls auf Links im Mailtext klicken.
Zusätzlich empfiehlt der Datenschutzexperte und frühere Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, laut swrfernsehen.de in zuverlässigen Datenbanken nachzusehen, ob die eigenen Daten bereits missbraucht wurden. Beim Identity Leak Checker des Hasso-Plattner-Instituts und der Website Have I Been Pwned? lasse sich überprüfen, ob die eigene E-Mail-Adresse oder die Telefonnummer in einem Datenleck entdeckt wurden. Zusammen mit einem IT-Spezialisten, der an der Aufarbeitung des Datenlecks beteiligt war, stellt Plusminus auch einen eigenen „Leckchecker“ bereit.
Es könne zudem sinnvoll sein, vorsorglich seine Passwörter zu ändern, so die Datenschützer. Zwar sei unklar, ob auch Passwörter bei dem Datenleck abgeflossen seien. Doch das sei eine einfache Maßnahme, die schnell durchzuführen sei und die großen Schaden abwenden könne, sagt Thilo Weichert. Eine Anzeige bei der Polizei sei erst dann ratsam, wenn ein Missbrauch der persönlichen Daten tatsächlich auch stattgefunden habe. Betroffene können sich auch direkt beim Landesdatenschutzbeauftragten von Baden-Württemberg melden.
Riesiges Datenleck war Programmierer bei Problembehebung aufgefallen: Betroffene Firma zeigte ihn an
Das riesige Datenleck war dem Programmierer Hendrik Heinle aufgefallen, als er im Auftrag eines Händlers ein Problem mit einer Software der Firma Modern Solution aus Gelsenkirchen beseitigen sollte. Kunden von Modern Solution sind Händler, die ihre Produkte auf verschiedenen Online-Marktplätzen anbieten wollen. Die Software bindet die Händler über eine Schnittstelle an verschiedene Marktplätze wie Otto oder Check24 an.
Bei der Fehlerbehebung entdeckte IT-Spezialist Heinle einem Bericht von golem.de zufolge, dass Modern Solution allen seinen Kunden Zugriff auf die Datenbanken gewährt – auch die der anderen Händler. Damit konnten alle Händler auch alle Kundenbestellungen anderer Händler einsehen. Darüber hinaus seien die für den Serverzugriff notwendigen Zugangsdaten im Klartext in der Software hinterlegt gewesen. Die Software hätten zudem auch Fremde auf der Website von Modern Solution herunterladen können. Somit hätte praktisch jeder auf höchst sensible Nutzerdaten zugreifen können.
Statt Hendrik Heinle für seine Entdeckung zu danken, hat Modern Solution laut golem.de den Programmierer und einen Blogger, der über den Fall berichtete, wegen des angeblichen „Ausspähens von Daten“ angezeigt. Bei einer Hausdurchsuchung in Heinles Firma wurden zudem seine Arbeitscomputer beschlagnahmt. Der IT-Spezialist rief daraufhin eine Fundraising-Kampagne ins Leben, um seinen Gerichtsprozess zu finanzieren.
Auch amerikanische Konzerne geraten immer wieder in die Kritik von Datenschützern. Die Meta-Tochter Whatsapp gilt als Datenkrake. Mit einigen Tipps lässt sich das Datensammeln von Whatsapp aber begrenzen.* (Paul Bröker) *hna.de ist ein Angebot von IPPEN.MEDIA