Informierte Stellen:

• Check24, Bayerisches Landesamt für Datenschutzaufsicht (beide am 29.07.2024)
• Verivox, Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (beide am 20.08.2024)

Durch unsichere direkte Objektreferenzen („Hoch- oder Runterzählen“) konnten bei beiden Vergleichsportalen Darlehensverträge von Kreditinteressierten heruntergeladen werden. Diese Verträge enhalten unter anderem Postanschrift, Einkommensauskünfte, IBAN und E-Mail-Adresse. Bei Check24 wurde zudem ein ungesicherter Websocket bereitgestellt, über den man live und ohne Authentifizierung neue Kreditangebote mitschneiden konnte. Correctiv berichtet über die Datenlecks.