Der Chaos Computer Club (CCC) hat kürzlich massive Sicherheitsücken bei der Kreditvermittlung von Check24 und Verivox ans Licht gebracht. Demnach konnten bei beiden Vergleichsportalen sensible Kundeninformationen wie Darlehensverträge samt Einkommensauskünfte, Kontodaten und E-Mail-Adressen eingesehen werden.
Nach Einschätzung des Recherche-Teams von Correctiv könnten Millionen Kunden von dem Fall betroffen gewesen sein. Sowohl Verivox als auch Check24 bestätigten die Vorfälle und betonten, dass sie die Schwachstellen umgehend behoben hätten.
Schwachstelle lässt sich leicht ausnützen
Trotzdem spricht CCC-Sprecher Matthias Marx bei diesem Fall von einem "Supergau". Er verweist darauf: "Jeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen, und wie viel Geld sie im Moment für Kredite ausgeben." Um die Schwachstelle auszunutzen ist laut CCC kein tieferes technisches Verständnis notwendig.
Wie Correcitv berichtet, musste man nicht einmal registrierter Kunde bei den Anbietern sein, um die Informationen einsehen zu können. "Wer die Portale als Gast besucht und Kredite vergleichen will, erhält seine Angebote über eine URL, also eine Webadresse. Diese Adresse führte zum Download der personalisierten Darlehensangebote", heißt es im Bericht.
Bei Check24 habe es zwar ein Passwort gegeben, das für Nutzer im Hintergrund abgefragt und durch den Browser übermittelt wurde. Allerdings habe dasselbe Passwort für alle Kunden funktioniert, heißt es weiter.
Demnach gab es bei Check24 sogar noch eine zweite Sicherheitslücke, für die allerdings mehr IT-Know-how nötig war. Diese hing mit einem sogenannten WebSocket zusammen. "Die Technologie ermöglicht eine Kommunikation des Webbrowsers in Echtzeit mit einem Server. Die Verbindung bleibt ständig offen, neue Kreditangebote für Kunden können so regelmäßig und sofort angezeigt werden, ohne dass eine neue Verbindung erstellt werden muss", erklärt das Correctiv-Team.
Keine Hinweise auf kriminelle Nutzung
Nach Angaben der beiden Vergleichsanbieter gibt es bisher keine Hinweise darauf, dass Daten von Betroffenen im Netz verbreitet, gehandelt oder kriminell genutzt wurden. Das lässt sich jedoch von Außen nur schwer überprüfen.
Bei Verivox konnten Hacker bereits im vergangenen Jahr Kundendaten abgreifen. Der Angriff erfolgte damals über eine kritische Lücke in der Dateiübertragungs-Software MOVEit.
Sie möchten regelmäßig über wichtige Themen rund um Cybersicherheit informiert werden? Unser kostenloser Newsletter liefert Ihnen alles, was Sie wissen müssen.