Spiegel

Datenleck bei Versandhändler windeln.de verriet offenbar sensible Kundeninformationen




Neugeborene im Krankenhaus: Datenleck bei Windel-Kunden.


Neugeborene im Krankenhaus: Datenleck bei Windel-Kunden.


Foto: PAWAN KUMAR/ REUTERS

IT-Sicherheitsexperten der Website “Safety Detectives” berichten von einer groben IT-Schwachstelle bei dem deutschen Unternehmen Windeln.de. Die Sicherheitsforscher stellten demnach fest, dass eine Datenbank mit 6,4 Terabyte Daten offen im Netz stand. Jeder, der die Adresse des Servers kannte, konnte demnach darauf zugreifen. Ein Passwort sei nicht notwendig gewesen, berichten die IT-Experten in einem Blog-Beitrag.

In der Datenbank befanden sich demnach auch Informationen wie E-Mail-Adressen, Telefonnummern, IP-Adressen, Bestelldetails sowie Namen und Anschriften von Kunden. In einigen Fällen seien auch Namen, Geburtsdatum und Geschlecht der Kinder von Windeln.de-Kunden in der Datenbank hinterlegt gewesen seien, berichtet “Safety Detectives”.

Windeln.de verkauft unter anderem Hygieneprodukte sowie Spielzeug und Kleidung für Babys und Kinder. Laut eigenen Angaben hatte das Unternehmen 2018 mehr als 500.000 aktive Kunden.

Schwachstelle offenbar inzwischen behoben

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt auf SPIEGEL-Anfrage, dass man Windeln.de am 22. Juni über die offene Datenbank informiert habe. Das Unternehmen habe die Sicherheitslücke geschlossen, nachdem das zum BSI gehörende Computer-Notfallteam CERT-Bund Windeln.de informiert hatte, sagte eine BSI-Sprecherin. Laut den IT-Sicherheitsforschern hatte Windeln.de zuvor nicht auf ihre Nachrichten reagiert, weshalb man sich direkt an die offizielle Stelle des BSI gewandt habe.

Windeln.de wurde vor zehn Jahren als Start-up gegründet und hat laut Geschäftsbericht von 2018 rund 200 Mitarbeiterinnen und Mitarbeiter. Das Münchner Unternehmen betreibt auch Websites speziell für den chinesischen, französischen und spanischen Markt. Im zweiten Quartal 2020 sei allein mit dem Geschäft im deutschsprachigen und chinesischen Raum ein Umsatz von 28,8 Millionen Euro erzielt worden.

Wertvolle Informationen für kriminelle Hacker

Die Sicherheitsexperten von “Safety Detectives” konnten nicht sagen, wie viele Kunden von der Schwachstelle betroffen seien. Häufig seien nur einzelne persönliche Informationen wie Name oder E-Mail-Adresse von Kunden in der Datenbank zu finden gewesen. In rund 1500 Fällen seien aber sämtliche privaten Kundendaten wie Name, Telefonnummer, Bezahlmethode, Produktinformation gebündelt abrufbar gewesen.

Ob die Schwachstelle tatsächlich von Kriminellen ausgenutzt wurde, ist nicht bekannt. Sorgen bereitet den IT-Sicherheitsexperten allerdings, dass Kriminelle gerade die Informationen über die Kinder nutzen könnten, um damit eigene Betrugsversuche zu unternehmen. Wenn sie beispielsweise das tatsächliche Geburtsdatum und den Namen eines Kindes kennen, können sie damit eigene Betrugs-Mails wesentlich vertrauenswürdiger aussehen lassen. So könnten sie an weitere private Informationen kommen oder Schadsoftware verbreiten.

Auf eine SPIEGEL-Anfrage hat Windeln.de bisher nicht geantwortet.

Icon: Der Spiegel