Kundendaten: Datenleck bei der Deutschen Post

Read the English version of this article here.

Die Deutsche Post betreibt ein Portal, auf dem Menschen nach einem Umzug ihre neue Adresse hinterlassen können: umziehen.de lautet die Adresse der Website. Mittels einer sogenannten Umzugsmitteilung informiert die Post dann automatisch diverse Dienstleister wie Banken oder Versicherungen über die neue Adresse. Fraglos ein nützlicher Service. Bei der Sicherheit ihres Portals schlampte die Post jedoch gewaltig. Aufgrund eines simplen Fehlers waren die Adressdaten von etwa 200.000 Kunden problemlos im Internet abrufbar.

Die Post bestätigt auf Anfrage den Vorfall: “Im Rahmen eines Sicherheitsupdates unseres Umzugsportals umziehen.de ist eine Kopie der Datenbankeinträge erstellt worden, die im Anschluss des Updates entgegen unserer Sicherheitsstandards aufgrund menschlichen Versagens nicht gelöscht wurde und anschließend für Nutzer mit Expertenwissen zugänglich war.”

Tatsächlich war wirkliches Expertenwissen nicht nötig. Die Datenbank ließ sich einfach herunterladen. Dafür musste man nur ihren Dateinamen kennen, er lautete “dump.sql”.

Abgeschrieben aus der MySQL-Dokumentation

Warum dieser Dateiname verwendet wird, ist leicht zu erklären: In der Dokumentation der weit verbreiteten Datenbanksoftware MySQL wird er in einem Beispiel verwendet. Bei der Post hat jemand genau nach diesem Beispiel eine Kopie der Datenbank angelegt und offenbar versehentlich direkt auf dem Webserver abgelegt. Herunterladen konnte man sie einfach, indem man die Webadresse https://www.umziehen.de/dump.sql aufrief.

Die Post hat die Datenbankkopie nach einem entsprechenden Hinweis von mir schnell entfernt. Doch das Problem betrifft auch viele andere Websites. Durch schlichtes Ausprobieren von typischen Dateinamen konnte ich nicht nur auf die Datenbank der Post, sondern auf mehr als 2.000 weitere Datenbanken zugreifen. Soweit möglich, habe ich versucht, die Webhoster der entsprechenden Seiten zu informieren.

Offen im Netz: Wer bestellte welche Medikamente?

Einen besonders großen Datensatz hatte Pharmacy Online Australia auf seinem Server liegen. In der Datenbank der australischen Onlineapotheke fanden sich nicht nur 600.000 Kundenadressen, sondern auch Details über Bestellungen von Medikamenten. Extrem sensible Daten, die auf keinen Fall in falsche Hände geraten sollten.

Weitere große Datenbanken entdeckte ich bei Beckertime, einem Verkäufer von Rolex-Uhren, bei einem US-Spielwarenhändler, beim deutschen Elektronik-Versandhandel IT-Market sowie bei revell-shop.de, einem Versandhandel für Modellbau (der aber nicht von der Revell GmbH betrieben wird). Kundenadressen und teilweise auch Kontodaten von Hunderttausenden Menschen hätte jeder abrufen können, der nach Dateien mit dem Namen dump.sql sucht. Inzwischen haben die Firmen reagiert und die Datenbankkopien abgesichert.

Hanno Böck Journalist mit Schwerpunkt IT-Sicherheit

zur Autorenseite

Es ist davon auszugehen, dass die Datenbanken in vielen Fällen zuvor von jemand anderem heruntergeladen wurden. Dafür spricht zumindest meine Erfahrung. Zur Erklärung: Auf Webservern werden üblicherweise alle Zugriffsversuche zumindest für einige Tage in Logdateien gespeichert. Jeder, der selbst eine Webseite betreibt, kann so feststellen, ob es entsprechende Versuche mit nicht öffentlichen Dateinamen gab. Eine Suche in meinen eigenen Serverlogs ergab, dass in der Vergangenheit immer mal wieder jemand nach entsprechenden Dateien gesucht hat. Ob es sich dabei um IT-Sicherheitsforscher oder Kriminelle handelte, ist schwer zu sagen.

Die Deutsche Post hat bereits damit begonnen, die betroffenen Kunden über den Vorfall informieren. In der Mitteilung heißt es: “Jemandem mit entsprechender Fachkenntnis wäre es für kurze Zeit möglich gewesen, Kenntnis von Ihren Angaben (Name, alte und neue Adresse, Umzugsdatum, E-Mail-Adresse) zu erlangen. Der Fehler wurde innerhalb weniger Minuten nach Bekanntwerden behoben. Wir können nicht ausschließen, dass in dieser Zeit unbefugt Einblick in Ihre Daten genommen wurde.”

Auch revell-shop.de teilte mit, umgehend alle Kunden informieren zu wollen. Der Sprecher des Versandhändlers IT-Market hingegen sagte, er gehe anhand seiner Logdateien davon aus, dass es keine anderen Versuche gegeben hat, die Datenbank herunterzuladen: “Wir sehen aus diesem Grund davon ab, unsere Kunden zu informieren.”

Der Spielwarenhändler aus den USA hat auch nach mehreren Tagen meine Anfragen nicht beantwortet und die Datenbank bisher auch nicht entfernt. Die anderen Firmen haben bislang keine Stellungnahme abgegeben.

Empfohlene Website Besuchen Sie Ihre URL

  • Pwned per Untertitel: Viele Mediaplayer führen Schadcode in Subtitle-Dateien aus

    (Bild: Checkpoint) Forscher haben Lücken in Kodi, VLC, Popcorn Time und Stremio entdeckt, über die sie mit Hilfe von Untertitel-Daten Schadcode ausführen können. Auf diesem Wege gelang es ihnen, den Rechner des Opfers zu kapern. Viele beliebte Mediaplayer sind über Schwachstellen bei der Verarbeitung von Untertitel-Dateien angreifbar. Auf diesem Wege lässt sich mit den Playern von […]

  • Filesharing: EuGH-Urteil gegen The Pirate Bay

    Der Europäische Gerichtshof hat beschlossen, dass Seiten wie The Pirate Bay, die nur Links zu Inhalten anbieten, die gegen das Urheberrecht verstoßen und nicht selber solche Dateien verfügbar machen, dennoch eine Urheberrechtsverletzung begehen. Dieses Urteil könnte nun auch Auswirkungen auf Plattformen wie Google und YouTube haben. Der Kampf gegen die illegale Verbreitung von urheberrechtlich geschütztem […]

  • heise-Angebot: c’t Webdesign: Mehr Visits, mehr Erfolg

    Was macht eine moderne Website aus ? und was macht sie erfolgreich? Diese (und andere) Fragen beantwortet das neue Sonderheft c’t Webdesign. Es ist ab sofort online erhältlich. “Mehr Visits, mehr Erfolg” ? das ist das Motto des neuen Sonderhefts c’t Webdesign, das ab sofort im Heise-Shop verfügbar ist. In diesem Sinne erklärt das Heft […]

  • Proberennen für den Volkslauf des TV Nöttingen führt durchs Ranntal

    Auch die Ranntalstrecke habe es ins sich ? insbesondere wegen ihres Höhenprofils: die erste Hälfte der insgesamt zehn Kilometer über Asphalt und Waldböden geht hoch hinaus, die zweite dagegen führt wieder sanft bergab: ?Da ist es umso wichtiger, seine Kräfte einteilen zu können.? Durch die Teilnahme an bis zu sechs Läufen beim Volkslauf-Cup der Sparkasse […]

  • (Kurz notiert) Nach Tragödie: Joss Whedon übernimmt ?Justice League? von Zack Snyder

    Kurz notiert: ?Justice League? soll im November in den Kinos anlaufen. Regisseur Zack Snyder gibt seine Rolle im Filmprojekt ?Justice League? auf, um den Tod seiner Tochter zu verarbeiten. Um den angepeilten Veröffentlichungstermin dennoch einhalten zu können, ist Joss Whedon in die Bresche gesprungen. Aktuell befindet sich der Kinofilm, der Superman, Aquaman, Wonder Woman, Batman, […]