Seit vielen Jahren sucht und meldet der CCC ehrenamtlich Datenlecks. Zunehmend erhalten wir auch Hinweise von Dritten, die uns um Unterstützung bei der Meldung bitten.

Es sind immer wieder die gleichen technisch langweiligen, aber deshalb auch sehr einfach auszunutzenden Schwachstellen. Gerade weil sie so einfach auszunutzen sind, ist es uns wichtig, auf das Schließen der Lecks hinzuwirken.

myRight: Diesel-Klagen und Glücksspiel

Bei myRight waren Daten von 25.000 Kund*innen über Directory Listings frei abrufbar. Dabei werden alle Dateien in einem Ordner aufgelistet und zum Download angeboten. Ein einfacher Zugriff auf die IP-Adresse reichte, um massenhaft auf Ausweisdokumente, Fahrzeugbriefe und Fahrzeugscheine von Dieselfahrzeugen, Verträge, Vollmachten und Abtretungserklärungen sowie Transaktionslisten von Sportwetten zugreifen.

EUflight: Fluggastrechte

Bei EUflight.de waren Daten von 300.000 Kund*innen kaum geschützt. Der Quellcode des Backends war frei zugänglich. Dieser enthielt u.a. gültige Datenbank-Zugangsdaten. Einige der Datenbank-Server waren direkt aus dem Internet erreichbar. Dort wurden Passwörter mit dem schon lange veralteten Hashverfahren md5 gespeichert. Zudem wurde beim Backend-Login kein zweiter Faktor verlangt und mehrere Nutzer ‒ darunter ein "Superadmin" ‒ verwendeten dasselbe, sehr einfache Passwort.

Meldung ist raus!

Beide Datenlecks haben wir den betroffenen Unternehmen und natürlich auch den zuständigen Datenschutzbehörden gemeldet, damit das nicht vergessen wird.

Beide Lecks wurden zeitnah gestopft. Wie so oft heißt es von Seiten der verantwortlichen Unternehmen, dass nur der CCC auf die Daten zugegriffen habe. Diese Aussage lässt sich nicht unabhängig verifizieren.

Für die Zukunft wünschen wir uns mal wieder weniger Nachlässigkeit beim Umgang mit sensiblen Daten.