Datenleck bei Modern Solution: Sicherheitslücke betrifft rund 700.000 Käufer

Ein Dienstleister mit Zugang zu Otto, Kaufland, Check24 und Weiteren ging sehr lasch mit den Daten der Endkunden um.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 19 Beiträge

(Bild: M.Moira / Shutterstock.com)

Von
  • Eva-Maria Weiß

Unternehmen wie Kaufland, Otto, Check24 und Idealo bieten kleineren Händlern einen Onlinemarktplatz, auf dem sie ihre Waren anbieten können. Die Daten der Endkunden dieser Händler sind von einem Dienstleister nicht ausreichend geschützt worden. Name, Adresse, Kontodaten und mehr Informationen von rund 700.000 Menschen sind so offengelegt worden.

Das Problem lag bei den Zugängen der Händler zum Marktplatz, wie der Spiegel berichtet. Der Dienstleister bietet die entsprechenden Schnittstellen für die Verbindung, in diesem Fall Modern Solutions. Verkäufer und Dienstleister sind für die Abwicklung und damit auch die Kundendaten verantwortlich. Die Marktplätze selbst sind keine Vertragspartner der Käufer.

Nun soll ein IT-Spezialist im Auftrag eines Einzelhändlers ein technisches Problem angeschaut und dabei die Sicherheitslücke entdeckt haben. Demnach bietet Modern Solutions seinen Kunden, also den Einzelhändlern, direkten Zugriff auf die Server und die dort hinterlegten Datenbanken. Zudem soll in der Software, die alle Kunden bei sich installiert haben müssen, "problemlos auslesbare Zugangsdaten zu diesem Server hinterlegt" sein, die gleichermaßen für alle galten. Sprich: Jeder Kunde konnte die Datenbanken aller Kunden einsehen.

Zudem sei laut dem IT-Experten die Software mit den Händlerzugangsdaten von Modern Solution per Google-Suche auffindbar gewesen, es gab einen freien Downloadlink. Ob das ausgenutzt worden ist, ist unklar. Der Spiegel zitiert aus einer Stellungnahme von Modern Solutions an die Kunden: "derzeit nicht bekannt".

Eine erste Warnung an Modern Solution führte wohl zu "untauglichen Reparaturversuchen". Die Zugänge sind inzwischen unterbrochen. Die Webseite des Unternehmens führt zu einem Liveticker, der die Vorgänge wiedergeben soll. Auch ist die E-Mail-Adresse des Datenschutzbeauftragten angegeben. Der Fall dürfte datenschutzrechtlich relevant sein.

Lesen Sie auch

(emw)