Wegen einer Sicherheitslücke beim Software-Shop Blitzhandel24.de (MSOfficehandel UG) waren die persönlichen Daten zehntausender Personen öffentlich einsehbar. Darunter waren Namen, Anschriften, Mailadressen, Geburtsdaten sowie Bestellsummen. Die Daten befanden sich in Excel- und CSV-Dateien, die mit Kenntnis der URL ohne weiteren Schutz herunterzuladen waren. Die Dateinamen deuten darauf hin, dass es sich um den Kundenstamm des Bad Salzdetfurther Unternehmens handelt. Blitzhandel24.de verkauft unter anderem Lizenzen für Windows, Office und Virenschutzprogramme.

Der IT-Experte Cedric Fischer von der Firma CeFisystems stieß auf die Daten und wandte sich mit der Bitte an c’t, den Software-Shop auf das Problem aufmerksam zu machen. Wir kontaktierten den Shop über die in der Datenschutzerklärung angegebene Mailadresse. In der Mail wiesen wir nicht nur auf die Dateien hin, sondern stellten auch einige konkrete Fragen – etwa, wie viele Kunden nach Einschätzung des Unternehmens von dem Problem betroffen sind, ob diese informiert wurden und ob der Vorfall, wie es die DSGVO vorschreibt, an die zuständige Landesbeauftragte für den Datenschutz Niedersachsen gemeldet wurde.

Prompt erhielten wir eine Eingangsbestätigung, danach wurde es jedoch still: Auch zwei Wochen nach unserer Mail hat uns keine persönliche Antwort erreicht. Immerhin hatte der Shop-Betreiber die Dateien zwischenzeitlich stillschweigend von seinem Server entfernt. Für die Kunden ist die aktuelle Situation höchst unerfreulich, da sie von dem Unternehmen im Unklaren gelassen werden.

Mehr Infos Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern. Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten. https://heise.de/investigativ

Dieser Artikel stammt aus c't 21/2020.

(rei)