Bei Check24 gab es zusätzlich eine zweite Schwachstelle, die sich auf eine sogenannte WebSocket-Verbindung bezog. Diese Technologie ermöglicht es, eine direkte Kommunikationsverbindung zwischen einem Webbrowser und einem Server herzustellen. Dadurch können neue Kreditangebote sofort auf dem Smartphone angezeigt werden, ohne dass eine neue Verbindung aufgebaut werden muss. Das Problem ist, dass die Kommunikation in beide Richtungen verläuft. Mit einem einfachen Programm ließ sich die WebSocket-Verbindung nutzen, um über einen Platzhalter die Daten anderer Kunden abzurufen. So wurden sensible Informationen von den kreditgebenden Banken erlangt, die bereits für die Kreditanträge vorausgefüllt waren. Dazu gehörten laut "Correctiv"-Recherche Daten wie:
- Name,
- Geschlecht,
- Telefonnummer,
- E-Mail-Adresse,
- Geburtsdatum,
- Staatsangehörigkeit,
- Arbeitsverhältnis
- und die Beschäftigungsdauer beim aktuellen Arbeitgeber.
Außerdem waren laut dem Bericht Informationen enthalten, seit wann die Person an ihrem Wohnsitz lebt, ihr Haushalts-Nettoeinkommen, ob bereits Kredite abgeschlossen wurden, ob sie zur Miete wohnt sowie die Anzahl ihrer Kinder und Fahrzeuge. Weitere Details der Darlehensangebote umfassten den beantragten Kreditbetrag, die Raten und Kontoinformationen, einschließlich IBAN.
Die Ausnutzung der Sicherheitslücken habe keinerlei tieferes technisches Verständnis benötigt, so berichtet der Hacker, der anonym bleiben wollte. Vergleichbar seien die Schwachstellen mit einem Mehrfamilienhaus, in dem die Kellerabteile der Mieter mit Vorhängeschlössern gesichert seien – der Code, der alle Schlösser öffne, stehe jedoch für jeden sichtbar am Eingang. „Es ist schon bemerkenswert, dass zwei so große Portale, die nichts weiter machen als Daten zu sammeln und an Banken weiterzugeben, solche Anfängerfehler machen, die eigentlich gar nicht passieren dürfen”, zitiert Correctiv den CCC-Sprecher Marx.
Laut Check24 und Verivox wurden bisher keine Daten gestohlen
Immerhin: Laut Check24 und Verivox sei die Sicherheitslücke nicht ausgenutzt worden, lediglich der Tippgeber habe Zugang zu den Daten gehabt. Allerdings ist es laut Correctiv denkbar, dass die Sicherheitslücken bereits seit Monaten bestanden, ohne dass es bemerkt worden sei. Die zuständigen Datenschutzbeauftragten hätten sich des Themas angenommen und würden gegen die Portale ermitteln. Die Behörden hätten Daten und Beweise sichern können. Die Portale selbst müssten demnach mittels Protokollauswertungen nachweisen, dass es nicht zum Missbrauch der Daten gekommen sei. Beide Unternehmen geben an, dass sie Logfile-Analysen durchgeführt und keine unbefugten Zugriffe auf die Dateien ihrer Nutzer festgestellt haben: Was sie nun den Datenschutzbehörden nachweisen müssen.
Gegenüber Versicherungsbote positioniert sich ein Check24-Sprecher: und beklagt, dass die Berichterstattung den Eindruck erwecke, sensible Kundendaten seien bereits von Hackern abgegriffen wurden. Dies sei aber nicht der Fall. "Wir wurden vom Chaos Computer Club auf eine Lücke im Kredit-Vergleich hingewiesen. Wir haben die Lücke am gleichen Tag geschlossen. Der CCC hat diese Informationen offensichtlich an die Presse gegeben. Die Presse lässt es so aussehen, als hätten wir wirklich Daten verloren. Für diese Hypothese gibt es keine Anzeichen. Wir gehen nach Log-Analyse davon aus, dass wir keine Kundendaten verloren haben", positioniert sich der Sprecher gegenüber Versicherungsbote.