Die Rechercheplattform Correctiv erhebt schwere Vorwürfe gegen die Vergleichsportale Check24 und Verivox. Gravierende Datenlecks hätten dazu geführt, dass sensible Kundendaten bis vor kurzem leicht einsehbar waren und von Unbefugten abgegriffen werden konnten. Millionen von Menschen könnten betroffen sein. Doch Check24 wehrt sich: Tatsächlich seien keine sensiblen Daten gestohlen worden, auch wenn das Portal einräumt, dass eine Schwachstelle bestanden habe.
Haben die bekannten Vergleichsportale Check24 und Verivox ein Datenschutzproblem? Diese Vorwürfe erhebt derzeit die Rechercheplattform Correctiv. Im Bereich der Kreditvermittlung hätten Datenlecks dazu geführt, dass sensible Kundendaten mit wenigen Handgriffen von Dritten eingesehen werden konnten. Betroffen seien Daten wie Name, Adresse, Einkommen, die Zahl der Kinder oder das Arbeitsverhältnis. Beide Anbieter hätten das Datenleck auf Anfrage von Correctiv bestätigt, versichern jedoch, die Lücke mittlerweile geschlossen zu haben.
Verivox habe auf Anfrage von Correctiv geantwortet, das Unternehmen habe die Hinweise im August umgehend geprüft. Die betroffene Applikation sei vorübergehend offline genommen worden und erst wieder online gestellt worden, nachdem sichergestellt werden konnte, dass ein Abgreifen der Daten ausgeschlossen sei, so berichtet das Rechercheportal. Auch Check24 habe die Vorwürfe indirekt bestätigt, indem als Antwort auf eine Presseanfrage ein internes Protokoll an das Management als Kopie gesendet worden sei. Darin heißt es, das Security-Team habe die Lücke leider bestätigt und noch am selben Tag geschlossen. Entsprechend sollen die Sicherheitslecks mittlerweile nicht mehr bestehen.
Ans Licht kam die Lücke demnach, weil ein anonymer IT-Experte des Chaos Computer Clubs (CCC) auf technische Fehler auf den Portalen aufmerksam geworden sei. Die Portalbetreiber seien daraufhin umgehend informiert worden. Der Chaos Computer Club ist eine der bekanntesten Hackervereinigungen Europas, die sich für Datenschutz, Informationsfreiheit und den verantwortungsvollen Umgang mit Technologie einsetzt. Der Club berät sowohl Privatpersonen als auch Unternehmen in Sicherheitsfragen und deckt Schwachstellen in IT-Systemen auf, um Missbrauch vorzubeugen.
Umfangreiche Datensätze hätten abgegriffen werden können
Doch auf die leichte Schulter sei der Vorfall nicht zu nehmen, warnt der CCC. Er spricht von einem „Super-GAU“, da nicht nur vergleichsweise harmlose Daten wie E-Mail-Adressen zugänglich gewesen seien, sondern auch umfangreiche Datensätze mit sensiblen finanziellen und persönlichen Informationen. „Jeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen und wie viel Geld sie im Moment für Kredite ausgeben”, zitiert Correctiv den CCC-Sprecher Matthias Marx.
Betroffen sei bei beiden Plattformen der Kreditbereich, heißt es weiter. Der anonyme Hacker habe nicht einmal den Fehler suchen müssen, sondern sei regelrecht darüber gestolpert. Die Schwachstelle habe folgendermaßen funktioniert: Nutzer, die als Gast Kredite auf den Portalen verglichen, hätten ihre personalisierten Angebote über eine URL erhalten. Bei Check24 sei zwar ein Passwort verwendet worden, jedoch sei dieses für alle Kunden dasselbe gewesen und automatisch über den Browser übermittelt worden. Am Ende der URL habe eine Nummer gestanden, die durch Hoch- oder Herunterzählen geändert werden konnte. So sei es möglich gewesen, auf die Darlehensangebote anderer Kunden zuzugreifen und diese ohne Anmeldung als PDF herunterzuladen. Diese Angebote hätten neben Kreditinformationen auch sensible persönliche Daten enthalten. Bei Verivox habe die gleiche Methode funktioniert, dort sogar ganz ohne Passwort.
Check24-Sprecher: Keine Daten entwendet
Bei Check24 gab es zusätzlich eine zweite Schwachstelle, die sich auf eine sogenannte WebSocket-Verbindung bezog. Diese Technologie ermöglicht es, eine direkte Kommunikationsverbindung zwischen einem Webbrowser und einem Server herzustellen. Dadurch können neue Kreditangebote sofort auf dem Smartphone angezeigt werden, ohne dass eine neue Verbindung aufgebaut werden muss. Das Problem ist, dass die Kommunikation in beide Richtungen verläuft. Mit einem einfachen Programm ließ sich die WebSocket-Verbindung nutzen, um über einen Platzhalter die Daten anderer Kunden abzurufen. So wurden sensible Informationen von den kreditgebenden Banken erlangt, die bereits für die Kreditanträge vorausgefüllt waren. Dazu gehörten laut "Correctiv"-Recherche Daten wie:
- Name,
- Geschlecht,
- Telefonnummer,
- E-Mail-Adresse,
- Geburtsdatum,
- Staatsangehörigkeit,
- Arbeitsverhältnis
- und die Beschäftigungsdauer beim aktuellen Arbeitgeber.
Außerdem waren laut dem Bericht Informationen enthalten, seit wann die Person an ihrem Wohnsitz lebt, ihr Haushalts-Nettoeinkommen, ob bereits Kredite abgeschlossen wurden, ob sie zur Miete wohnt sowie die Anzahl ihrer Kinder und Fahrzeuge. Weitere Details der Darlehensangebote umfassten den beantragten Kreditbetrag, die Raten und Kontoinformationen, einschließlich IBAN.
Die Ausnutzung der Sicherheitslücken habe keinerlei tieferes technisches Verständnis benötigt, so berichtet der Hacker, der anonym bleiben wollte. Vergleichbar seien die Schwachstellen mit einem Mehrfamilienhaus, in dem die Kellerabteile der Mieter mit Vorhängeschlössern gesichert seien – der Code, der alle Schlösser öffne, stehe jedoch für jeden sichtbar am Eingang. „Es ist schon bemerkenswert, dass zwei so große Portale, die nichts weiter machen als Daten zu sammeln und an Banken weiterzugeben, solche Anfängerfehler machen, die eigentlich gar nicht passieren dürfen”, zitiert Correctiv den CCC-Sprecher Marx.
Laut Check24 und Verivox wurden bisher keine Daten gestohlen
Immerhin: Laut Check24 und Verivox sei die Sicherheitslücke nicht ausgenutzt worden, lediglich der Tippgeber habe Zugang zu den Daten gehabt. Allerdings ist es laut Correctiv denkbar, dass die Sicherheitslücken bereits seit Monaten bestanden, ohne dass es bemerkt worden sei. Die zuständigen Datenschutzbeauftragten hätten sich des Themas angenommen und würden gegen die Portale ermitteln. Die Behörden hätten Daten und Beweise sichern können. Die Portale selbst müssten demnach mittels Protokollauswertungen nachweisen, dass es nicht zum Missbrauch der Daten gekommen sei. Beide Unternehmen geben an, dass sie Logfile-Analysen durchgeführt und keine unbefugten Zugriffe auf die Dateien ihrer Nutzer festgestellt haben: Was sie nun den Datenschutzbehörden nachweisen müssen.
Gegenüber Versicherungsbote positioniert sich ein Check24-Sprecher: und beklagt, dass die Berichterstattung den Eindruck erwecke, sensible Kundendaten seien bereits von Hackern abgegriffen wurden. Dies sei aber nicht der Fall. "Wir wurden vom Chaos Computer Club auf eine Lücke im Kredit-Vergleich hingewiesen. Wir haben die Lücke am gleichen Tag geschlossen. Der CCC hat diese Informationen offensichtlich an die Presse gegeben. Die Presse lässt es so aussehen, als hätten wir wirklich Daten verloren. Für diese Hypothese gibt es keine Anzeichen. Wir gehen nach Log-Analyse davon aus, dass wir keine Kundendaten verloren haben", positioniert sich der Sprecher gegenüber Versicherungsbote.