{"id":637,"date":"2024-10-11T08:19:20","date_gmt":"2024-10-11T08:19:20","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=637"},"modified":"2024-10-11T08:19:20","modified_gmt":"2024-10-11T08:19:20","slug":"massives-datenleck-bei-check24-und-verivox","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=637","title":{"rendered":"Massives Datenleck bei Check24 und Verivox"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Bei der Kreditvermittlung der Vergleichsportale Check24 und Verivox gab es eine schwerwiegende Sicherheitsl\u00fccke. Dar\u00fcber konnten Kundendaten eingesehen werden.\n

Sharaf Maksumov \u2013 shutterstock.com<\/p>\n<\/div>\n

Der\u00a0Chaos Computer Club<\/a>\u00a0(CCC) hat k\u00fcrzlich massive Sicherheits\u00fccken bei der Kreditvermittlung von Check24 und Verivox ans Licht gebracht. Demnach konnten bei beiden Vergleichsportalen sensible Kundeninformationen wie Darlehensvertr\u00e4ge samt Einkommensausk\u00fcnfte, Kontodaten und E-Mail-Adressen eingesehen werden.<\/p>\n

Nach Einsch\u00e4tzung des Recherche-Teams von\u00a0Correctiv<\/a>\u00a0k\u00f6nnten Millionen Kunden von dem Fall betroffen gewesen sein. Sowohl Verivox als auch Check24 best\u00e4tigten die Vorf\u00e4lle und betonten, dass sie die Schwachstellen umgehend behoben h\u00e4tten.<\/p>\n

Schwachstelle l\u00e4sst sich leicht ausn\u00fctzen<\/h3>\n

Trotzdem spricht CCC-Sprecher Matthias Marx bei diesem Fall von einem \u201cSupergau\u201d. Er verweist darauf: \u201cJeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen, und wie viel Geld sie im Moment f\u00fcr Kredite ausgeben.\u201d Um die Schwachstelle auszunutzen ist laut CCC kein tieferes technisches Verst\u00e4ndnis notwendig.<\/p>\n

Wie Correcitv berichtet, musste man nicht einmal registrierter Kunde bei den Anbietern sein, um die Informationen einsehen zu k\u00f6nnen. \u201cWer die Portale als Gast besucht und Kredite vergleichen will, erh\u00e4lt seine Angebote \u00fcber eine URL, also eine Webadresse. Diese Adresse f\u00fchrte zum Download der personalisierten Darlehensangebote\u201d, hei\u00dft es im Bericht.<\/p>\n

Bei Check24 habe es zwar ein Passwort gegeben, das f\u00fcr Nutzer im Hintergrund abgefragt und durch den Browser \u00fcbermittelt wurde. Allerdings habe dasselbe Passwort f\u00fcr alle Kunden funktioniert, hei\u00dft es weiter.<\/p>\n

Demnach gab es bei Check24 sogar noch eine zweite Sicherheitsl\u00fccke, f\u00fcr die allerdings mehr IT-Know-how n\u00f6tig war. Diese hing mit einem sogenannten WebSocket zusammen. \u201cDie Technologie erm\u00f6glicht eine Kommunikation des Webbrowsers in Echtzeit mit einem Server. Die Verbindung bleibt st\u00e4ndig offen, neue Kreditangebote f\u00fcr Kunden k\u00f6nnen so regelm\u00e4\u00dfig und sofort angezeigt werden, ohne dass eine neue Verbindung erstellt werden muss\u201d, erkl\u00e4rt das Correctiv-Team.<\/p>\n

Keine Hinweise auf kriminelle Nutzung<\/h3>\n

Nach Angaben der beiden Vergleichsanbieter gibt es bisher keine Hinweise darauf, dass Daten von Betroffenen im Netz verbreitet, gehandelt oder kriminell genutzt wurden. Das l\u00e4sst sich jedoch von Au\u00dfen nur schwer \u00fcberpr\u00fcfen.<\/p>\n

Bei\u00a0Verivox<\/a>\u00a0konnten Hacker bereits im vergangenen Jahr Kundendaten abgreifen. Der Angriff erfolgte damals \u00fcber eine kritische L\u00fccke in der Datei\u00fcbertragungs-Software MOVEit.<\/p>\n

Sie m\u00f6chten regelm\u00e4\u00dfig \u00fcber wichtige Themen rund um Cybersicherheit informiert werden? Unser kostenloser\u00a0Newsletter<\/a>\u00a0liefert Ihnen alles, was Sie wissen m\u00fcssen.<\/em><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Bei der Kreditvermittlung der Vergleichsportale Check24 und Verivox gab es eine schwerwiegende Sicherheitsl\u00fccke. Dar\u00fcber konnten Kundendaten eingesehen werden. Sharaf Maksumov \u2013 shutterstock.com Der\u00a0Chaos Computer Club\u00a0(CCC) hat k\u00fcrzlich massive Sicherheits\u00fccken bei der Kreditvermittlung von Check24 und Verivox ans Licht gebracht. Demnach konnten bei beiden Vergleichsportalen sensible Kundeninformationen wie Darlehensvertr\u00e4ge samt Einkommensausk\u00fcnfte, Kontodaten und E-Mail-Adressen eingesehen werden. […]<\/p>\n","protected":false},"author":0,"featured_media":638,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-637","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/637"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=637"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/637\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/638"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=637"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=637"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=637"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}