Bei dem Vergleichsportalanbietern CHECK24 und VERIVOX hat es laut Berichten des Recherchenetzwerks CORRECTIV gab es eine erhebliche Sicherheitslücke, über die mit einfachsten technischen Mitteln sensible Kreditdaten der Kunden eingesehen werden konnten.
Welches Datenleck gab es?
Wie ein anonymer IT-Experte über den Chaos Computer Club (CCC) berichtete, konnten die Kreditangebote, die Check24 und Verivox ihren Kunden anbot, über den Weblink eingesehen werden.
Das bei Check24 vergebene Passwort zum Abruf dieser Kreditangebote sei mit einem globalen Passwort geschützt gewesen, sodass mit einem Passwort sämtliche verlinkte Angebote eingesehen werden konnte.
Die Links seien dabei mit einer Zahl versehen, die händisch abgeändert werden kann. So kann dann ein Kreditangebot eines völlig anderen Kunden eingesehen werden
Beispielhafte Darstellung zum besseren Verständnis. Kein realer Link.
Laut des CORRECTIV-Berichts haben beide Unternehmen reagiert und die Sicherheitslücke inzwischen geschlossen. Wie viele Kunden in welchem Zeitraum von dieser sehr leicht ausnutzbaren Lücke betroffen sind, ist bisher noch unklar.
Neben der leicht einsehbaren Web-URL habe es auch Probleme mit einer „offenen Verbindung“ über einen s.g. WebSocket gegeben.
Im Check24 Protokoll, das CORRECTIV vorliegt, heißt es hierzu:
„Die Implementierung war nicht ausreichend abgesichert, sodass es einem Angreifer durch technische Manipulation möglich war, auch die Ergebnisse anderer Kunden zu sehen.“
Ausschnitt der Check24 API
Reaktionen auf die Datenlecks
Die Unternehmen reagierten eigenen Darstellungen zufolge unmittelbar nach Bekanntwerden auf die Sicherheitslücken und schlossen diesen unverzüglich.
Die IT-Sicherheitsmaßnahmen werden jedoch sehr kritisch gesehen. Der unabhängige CCC sprach im Rahmen der CORRECTIV-Berichterstattung von einem „Supergau“.
Zudem gab es nach Bekanntwerden Meldungen bei den Landesdatenschutzbeauftragten durch den CCC als auch durch die betroffenen Unternehmen selbst.
Welche Daten sind betroffen ?
Laut Bericht sollen nicht nur die Kontaktdaten der Kunden betroffen sein, sondern auch die kreditsensiblen Daten betroffen sein, so z.B.
- wie viele Kinder sie haben
- wo sie arbeiten
- was sie verdienen
- wie viel Geld sie im Moment für Kredite ausgeben
Diese Daten begründen eine hohe Missbrauchsgefahr.
Ob diese Daten bereits an unbefugte Dritte abgeflossen sind, müssen Check24 und Verivox anhand von Zugriffsprotokollen nachweisen. Der Bayerische Landesbeauftragte für Datenschutz betonte dabei, dass die Unternehmen insoweit widerlegen müssen, dass Dritte diese Daten auch tatsächlich abgerufen haben.
Was sollten Kunden von Check24 und Verivox jetzt tun?
Kunden der Portale, die Sorge haben, ebenfalls von der Sicherheitslücke betroffen zu sein, sollten im ersten Schritt Auskunft verlangen.
Hierbei können Sie folgendes Musterschreiben verwenden:
Musterschreiben nach Datenleck
Sehr geehrte Damen und Herren,
im Rahmen der öffentlichen Berichterstattung habe ich erfahren, dass meine personenbezogenen Daten möglicherweise von einer kritischen Sicherheitslücke betroffen sind.
Zur Prüfung zivilrechtlicher Ansprüche fordere ich Sie deshalb zur unbeschränkten datenschutzrechtlichen
Auskunft gem. Art. 15 Abs. 1 und 3 DSGVO
auf und verlange insbesondere um Auskunft,
- ob meine personenbezogenen Daten, inkl. Finanz- und Vertragsdaten, für unbefugte Dritte anhand einer fortlaufend hoch- oder runterzählenden URL mit einem global verwendeten Passwort einsehbar gewesen sind und/oder waren
- ob meine personenbezogenen Daten, inkl. Finanz- und Vertragsdaten, für unbefugte Dritte aufgrund eines nicht hinreichend gesicherten WebSocket abrufbar sind und/oder waren
- ob meine personenbezogenen Daten, inkl. Finanz- und Vertragsdaten durch Dritte abgerufen worden sind, die nicht die IP-Adresse aufwiesen, mit der das initiale Kreditangebot abgerufen worden ist.
Sollten einzelne oder alle vorgenannten Punkte bejaht werden, so wird ergänzend um Mitteilung gebeten, weshalb ich nicht über die erhebliche Gefährdung meiner personenbezogenen Daten und den damit verbundenen Kontrollverlust unverzüglich informiert worden bin. Ihnen sind die Sicherheitslücken seit dem 30.07.2024 (Check24) bzw. seit dem 20.08.2024 (Verivox) bekannt gewesen.
Ihre Rückantwort sehe ich innerhalb einer Frist von höchstens
14 Tagen
entgegen. Die Auskunft hat unverzüglich zu erfolgen. Die einmonatige Frist zur Auskunft ist eine Höchstfrist und ist aufgrund der Vorbefassung mit dem Sachverhalt keines falls auszuschöpfen.
Mit freundlichen Grüßen
Welche Ansprüche haben Betroffene?
Neben dem Auskunftsanspruch stehen betroffenen Kunden voraussichtlich auch Schmerzensgeldansprüche zu.
Denn ein Datenschutzverstoß begründet gem. Art. 82 DSGVO einen Entschädigungsanspruch, wenn ein Schaden entstanden ist.
Dabei hat der Europäische Gerichtshof in jüngster Vergangenheit noch einmal betont, dass für die Annahme eines Schadens bei Datenlecks mit Datenabfluss bereits der damit verbundene Kontrollverlust ausreichen kann, um ein Schmerzensgeld zu begründen.
Zusätzlich sind Unterlassungsansprüche denkbar, um den Zugang zu den personenbezogenen Daten in Zukunft besser zu schätzen.
Daneben kommen auch Feststellungsansprüche für noch nicht eingetretene, zukünftige Schäden in Betracht. Denn ob und wann die Kreditdaten ggfs. im Darknet auftauchen ist aktuell noch gänzlich unklar. Um diese Ansprüche auch zukünftig zu sichern, kann ein Feststellungsantrag sinnvoll sein.
Wenn Sie Kunde von Check24 oder Verivox waren und Ihre Ansprüche anwaltlich prüfen und durchsetzen lassen möchten, können Sie jederzeit mit uns Kontakt aufnehmen. Wir beraten und vertreten Geschädigte gegen Check24 und Verivox.
