Datenpanne bei Schlecker: Kundendaten frei zugänglich

[Dynamite]

Bis zum gestrigen Donnerstag waren 150.000 komplette Datensätze von Onlinekunden des Drogerie-Discounters Schlecker frei über das Internet einsehbar. Neben Anschrift, Mailadresse und Geburtsdatum ließen die unzureichend geschützten Daten Rückschlüsse auf bestellte Waren zu, berichtete die Bild-Zeitung, an die sich der Entdecker der Lücke, Tobias Huch, gewandt hatte. Huch hatte schon mehrfach in Verbindung mit Datenlecks und mehr oder weniger skurrilen Gerichtsverfahren auf sich aufmerksam gemacht. Er will zudem Zugriff auf 7,1 Millionen Mailadressen der Newsletter-Abonnenten gehabt haben.

[Update: Der Online-Dienstleister, bei dem die Schlecker-Kundendaten gehostet waren, soll auch Bundesministerien, das Bundesverwaltungsgericht, die Allianz-Versicherung und den SPD-Parteivorstand beraten.] Gegenüber der Bild erklärte Schlecker gestern, dass "die Sicherheitslücke [...] umgehend von unserem Dienstleister geschlossen" wurde. Außerdem wolle der Discounter die betroffenen Kunden "umfassend informieren". (rei)

Quelle: Heise.de

[Dynamite]

Datenleck: Schlecker entschädigt Kunden

In einer Mail an seine Kunden entschuldigt sich der Drogerie-Discounter Schlecker für die vergangene Woche aufgeflogene Datenpanne und tröstet die Kunden mit einem Einkaufsgutschein in Höhe von 5 Euro. Laut Schlecker wurden die betroffenen Datensätze, die Bild-Presse berichtete von bis zu 150.000 kompletten Datensätzen und 7,1 Millionen Mailadressen, lediglich zur Werbekommunikation genutzt, und enthielten keine Passwörter, Zahlungsdaten oder Kaufinformationen. Auch seien die Daten nicht öffentlich im Internet einsehbar gewesen.

Gegenüber Focus behauptet jedoch Tobias Huch, der die Lücke ursprünglich der Bild gemeldet hat, dass der Zugriff jedem "Internetnutzer mit Grundkenntnissen in Informatik" gelungen wäre. Eine PHP-Datei auf der Schlecker-Homepage habe laut Focus durch "fachgerechtes Auslesen mittels eines Spezialprogramms" die Zugangsdaten für eine weitere Seite ausgespuckt, auf welcher sich die Kundendaten befanden. Huch ist in der IT-Welt kein Unbekannter: Schon mehrfach hatte er in Verbindung mit Datenlecks und mehr oder weniger skurrilen Gerichtsverfahren auf sich aufmerksam gemacht.

Nach Darstellunge von Schlecker sei der illegale Zugriff nur durch einen "internen Angriff" möglich geworden. Der Drogerie-Discounter hat Anzeige gegen Unbekannt erstattet. Im Gespräch mit Focus Online wird der Dienstleister Artegic AG, der für Schlecker einen personalisierten Newsletterversand betreibt, konkreter: "Die Kundendaten auszuspähen war nur möglich, weil eine Person die die Zugangsdaten zum Server besaß, ein Programm aufgespielt hat." Gegenüber dpa drohte Schlecker unterdessen auch dem Dienstleister mit Konsequenzen.

Ein weiteres Datenleck beim Dienstleister Artegic hat uns ein Leser am Wochenende gemeldet: Über eine öffentlich zugängliche URL konnte jedermann prüfen, ob eine Mailadresse für den Schlecker-Newsletter registriert ist, welchen Namen der Kunde bei der Anmeldung angegeben hat und welche Themennewsletter er abonniert hat. Artegic reagierte prompt, bestätigte das Problem und stellte es ab. (rei)

Quelle: Heise.de