CORRECTIV deckt kritische Datenlecks bei Check24 und Verivox auf

B2B Cyber Security ShortNews

Beitrag teilen

Eine Untersuchung von CORRECTIV hat kritische Datenlecks bei den Kreditvermittlungsplattformen Check24 und Verivox aufgedeckt. Diese Schwachstellen ermöglichten den unautorisierten Zugriff auf sensible Kundendaten.

Bei den Datenlecks sollen laut CORRECTIV unter den geleakten Daten persönliche Informationen sein, wie Namen, Telefonnummern, Geburtsdaten und sogar finanzielle Details wie das Haushaltsnettoeinkommen oder laufende Kredite. Die Sicherheitslücken sollen so gravierend, sein dass Angreifer ohne tiefere technische Kenntnisse auf die Daten zugreifen konnten.

Anzeige

Fehler legten die Daten offen

Bei Check24 wurde eine unsichere Implementierung der WebSocket-Technologie entdeckt, die es potenziellen Angreifern erlaubte, die Kreditangebote anderer Kunden in Echtzeit abzurufen, indem sie eine Platzhalterkennung (Wildcard) verwendeten. Dadurch konnten PDF-Dateien mit detaillierten Kreditinformationen abgerufen werden.

Noch problematischer war anscheinend die Situation bei Verivox, wo sogar ohne Passwort auf die Kundendaten zugegriffen werden konnte. Laut einem anonymen IT-Experten waren die Daten „einfach offen über das Internet abrufbar“.

Chaos Computer Club meldete die Entdeckung

Der Chaos Computer Club (CCC) meldete diese Lecks nach Entdeckung im Juli 2024 an die betroffenen Unternehmen. Check24 reagierte schnell und bedankte sich sogar mit einer Spende, die letztlich an eine gemeinnützige Organisation weitergeleitet wurde. Verivox hingegen reagierte verhalten und lehnte zunächst die Verantwortung ab, bevor rechtliche Drohungen gegenüber den Hinweisgebern geäußert wurden​.

CCC spricht gegenüber CORRECTIV von einem „Supergau“, da nicht nur relativ harmlose Angaben wie E-Mailadressen, sondern umfangreiche Datensätze mit finanziellen und persönlichen Informationen auf den Portalen so gut wie offen zugänglich waren: „Jeder konnte sehen, wo die Nutzer leben, wie viele Kinder sie haben, wo sie arbeiten, was sie verdienen, und wie viel Geld sie im Moment für Kredite ausgeben”, sagt CCC-Sprecher Matthias Marx.

Mehr bei Correctiv.org

 

Passende Artikel zum Thema

Microsoft Patchday: Über 1.000 Sicherheitsupdates im Februar 2025  

Vom 6. bis 11. Februar hat Microsoft zum Patchday 1.212 Hinweise und Sicherheitsupdates für seine Services und Systeme bereitgestellt. Darunter ➡ Weiterlesen

Backdoor in Überwachungsmonitor als Schwachstelle eingestuft

Am 30. Januar veröffentlichte die US-amerikanische Cybersicherheitsbehörde CISA eine Warnung zu einer Backdoor in medizinischen Überwachungsmonitoren, die durch eine Benachrichtigung ➡ Weiterlesen

ENISA-Bericht: DoS-und DDoS-Angriffe auf Platz eins

ENISA, die Agentur für Cybersicherheit der EU, hat Cybervorfälle von 2023 bis 2024 analysiert. DDoS-Angriffe gehören mit über 40 Prozent ➡ Weiterlesen

Endpoint: Unternehmenslösungen im Test gegen Ransomware

Das AV-TEST Institut hat 8 Security-Lösungen für Unternehmen in einem erweiterten Test untersucht. Dabei stand nicht die massenhafte Erkennung von ➡ Weiterlesen

Cyberkriminelle: Skepsis gegenüber KI – Hoffnung bei DeepSeek

Eine Untersuchung von Sophos X-Ops in ausgewählten Cybercrime-Foren ergab, dass Bedrohungsakteure die KI nach wie vor nicht intensiv für ihre ➡ Weiterlesen

Report: Gemini wird von staatlichen Hackergruppen missbraucht 

Die Google Threat Intelligence Group (GTIG) zeigt in einem Bericht, dass besonders iranische, chinesische, nordkoreanische und russische Hackergruppen auf die ➡ Weiterlesen

BKA sprengt Hackerportale mit zehn Millionen Nutzern

In der gemeinsamen Operation Talent hat die ZIT und das BKA als deutsche Beteiligung gleich zwei Hackerportale mit Cracking- & ➡ Weiterlesen

Lexmark-Geräte mit fünf gefährlichen Schwachstellen

Anbieter Lexmark meldet eine kritische und vier hochgefährliche Schwachstellen für seine Geräte. Bei allen lässt sich Remote-Code ausführen, bei der ➡ Weiterlesen