Diskussionsforum
Menü

Schlamperei: 'DSL on Air' schützt Kundendaten nicht


12.04.2006 16:58 - Gestartet von kamischke
Schlamperei: "DSL on Air" schützt Kundendaten nicht

Öffentlich zugänglich: Kundendaten auf www.dslonair.de

Kunden und Partner des "DSL-on-Air"-Anbieters Deutsche Breitband Dienste (DBD) sollten sich nicht wundern, wenn ihr Zugang plötzlich nicht mehr funktioniert oder Geld von ihrem Konto verschwindet. Über die Webseite des Anbieters konnte nämlich bis gestern, 11.04.2006, jeder, der über einen Internet-Zugang verfügt, auf die DBD-Datenbank mit Kunden-, Partner- und Interessentendaten zugreifen - bei Kunden inklusive Passwörter in Klartext und Bankverbindung.

Adressenklau leicht gemacht: Die Interessentenliste als CSV-Datei zum Herunterladen.

Doch damit nicht genug: die Daten ließen sich auch ändern oder löschen, die Liste der Interessenten als CSV-Datei zur Weiterverarbeitung in Excel herunter laden.

Auch die Bankverbindung der Kunden war einsehbar.

Dabei musste man kein Hacker sein, um an die Informationen zu kommen. Es genügte, aus einem Link, der auf Geschäftsbedingungen und Leistungsbeschreibungen verweist, den Dateinamen zu entfernen. Dann gelangte man in das Root-Verzeichnis, das - entgegen jeder üblichen Konfiguration - frei für jedermann zugänglich war. Auch das Admin-Tool, mit dem man auf die Datenbank zugreifen kann, war durch keinerlei Zugangsschutz, beispielsweise ein Passwort, gesichert.

Schotten dicht: Der Server ist von außen nicht mehr erreichbar.

Mittlerweile hat der Anbieter reagiert und die URL komplett gesperrt, so dass man nicht einmal mehr auf die dort liegenden AGBs zugreifen kann.

Gesetze greifen nicht

Belangt werden kann DBD für diese Schlamperei wohl nicht. Eine Ordnungswidrigkeit liegt nach Ansicht von Peter Büttgen, Sprecher des Bundesbeauftragten für den Datenschutz nicht vor: "Nach einer ersten Einschätzung greift der §149 des Telekommunikationsgesetzes hier nicht." Auch ein Rückgriff auf das Bundesdatenschutzgesetz (BDSG) sei wohl nicht möglich. Falls durch das Ausspähen der Daten einem Betroffenen ein Schaden entstanden wäre, ließe sich dieser höchsten zivilrechtlich verfolgen, so der Experte.

Quelle: http://www.computerpartner.de/news/203436/index.html


Gruß Kamischke