CORRECTIV deckt kritische Datenlecks bei Check24 und Verivox auf

24. September 2024
| Keine Kommentare
B2B Cyber Security ShortNews

Beitrag teilen

Eine Untersuchung von CORRECTIV hat kritische Datenlecks bei den Kreditvermittlungsplattformen Check24 und Verivox aufgedeckt. Diese Schwachstellen ermöglichten den unautorisierten Zugriff auf sensible Kundendaten.

Bei den Datenlecks sollen laut CORRECTIV unter den geleakten Daten persönliche Informationen sein, wie Namen, Telefonnummern, Geburtsdaten und sogar finanzielle Details wie das Haushaltsnettoeinkommen oder laufende Kredite. Die Sicherheitslücken sollen so gravierend, sein dass Angreifer ohne tiefere technische Kenntnisse auf die Daten zugreifen konnten.

Anzeige

Fehler legten die Daten offen

Bei Check24 wurde eine unsichere Implementierung der WebSocket-Technologie entdeckt, die es potenziellen Angreifern erlaubte, die Kreditangebote anderer Kunden in Echtzeit abzurufen, indem sie eine Platzhalterkennung (Wildcard) verwendeten. Dadurch konnten PDF-Dateien mit detaillierten Kreditinformationen abgerufen werden.

Noch problematischer war anscheinend die Situation bei Verivox, wo sogar ohne Passwort auf die Kundendaten zugegriffen werden konnte. Laut einem anonymen IT-Experten waren die Daten „einfach offen über das Internet abrufbar“.

Chaos Computer Club meldete die Entdeckung

Der Chaos Computer Club (CCC) meldete diese Lecks nach Entdeckung im Juli 2024 an die betroffenen Unternehmen. Check24 reagierte schnell und bedankte sich sogar mit einer Spende, die letztlich an eine gemeinnützige Organisation weitergeleitet wurde. Verivox hingegen reagierte verhalten und lehnte zunächst die Verantwortung ab, bevor rechtliche Drohungen gegenüber den Hinweisgebern geäußert wurden​.

CCC spricht gegenüber CORRECTIV von einem „Supergau“, da nicht nur relativ harmlose Angaben wie E-Mailadressen, sondern umfangreiche Datensätze mit finanziellen und persönlichen Informationen auf den Portalen so gut wie offen zugänglich waren: „Jeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen, und wie viel Geld sie im Moment für Kredite ausgeben”, sagt CCC-Sprecher Matthias Marx.

Mehr bei Correctiv.org

 

Passende Artikel zum Thema

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen

Bedrohungserkennung mit Sigma-Regeln

Open-Source-Projekte sind unverzichtbar für die Weiterentwicklung der Softwarelandschaft. Sie ermöglichen es einer globalen Community von Entwicklern und Cybersicherheitsexperten, Wissen auszutauschen, ➡ Weiterlesen

BSI: Brute-Force-Angriffe gegen Citrix Netscaler Gateways

Aktuell werden dem BSI verstärkt Brute-Force-Angriffe gegen Citrix Netscaler Gateways aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern gemeldet. Die aktuellen ➡ Weiterlesen

Mutmaßliche Spionagekampagne mit Malware namens Voldemort

Cybersecurity-Experten konnten eine großangelegte Malware-Kampagne namens Voldemort identifizieren. Die Malware, die dabei zum Einsatz kommt, wurde dabei über Phishing-E-Mails verbreitet. ➡ Weiterlesen

Cyberangriffe kosten im Schnitt 1 Million US-Dollar

Cyberangriffe kosten Unternehmen in Deutschland fast genauso viel wie ihre jährlichen Investitionen in Cybersicherheit. Insgesamt beträgt  das durchschnittliche IT-Budget 5,9 ➡ Weiterlesen

Short-News
, , , ,