[English]Unschöne Geschichte, die sich beim Online-Anbieter brillen.de ereignet hat. Durch einen Konfigurationsfehler standen die Daten von 3,5 Millionen europäischen Kunden offen im Internet. Man konnte also sehen, wer dort Brillen gekauft hat. Der Anbieter hat das Leck nach einer Meldung stillschweigend geschlossen.
Sicherheitsforscher stoßen auf Datenbank
Die Leute von Cybernews hatten mich bereits am gestrigen Donnerstag, den 17. Oktober 2024, über den Datenschutz-Vorfall informiert. Mit Daten von 3,5 Millionen europäischen Kunden, die für Dritte abrufbar waren, ist das ein größeres Datenleck.
Offener Elastic Server-Cluster im Internet
Am 8. August 2024 entdeckten die Sicherheitsforscher von Cybernews ein Elasticsearch-Cluster, welches aus dem Internet zugreifbar war. Elasticsearch ist eine Suchmaschine, mit der Benutzer große Datenmengen speichern, durchsuchen und analysieren können. Das ist kein Problem, sofern diese Zugriffe durch eine Benutzerauthentifizierung abgesichert sind.
Im aktuellen Fall fehlte aber diese Authentifizierung, so dass durch die fehlende Authentifizierung die Daten für Internetnutzer und zwangsläufig auch für Bedrohungsakteure, die das Internet ständig nach öffentlich zugänglichen Datenbanken durchsuchen, zugänglich sind.
Kundendaten von brillen.de
Ein Blick in die Datensätze des Elastic Search-Clusters zeigte, dass dieses zum deutschen Online Brillenhändler Brillen (brillen.de) gehörte. Die Sicherheitsforscher fanden über 3,5 Millionen Datensätze mit Kundendaten.
Das so bestehende Datenleck betraf über 3,5 Millionen Kunden aus ganz Europa, die irgend etwas bei brillen.de bestellt hatten. In den Datensätzen ließen sich die vollständige Namen der Kunden, deren Anschriften, angegebene E-Mail-Adressen oder (Handy-)Nummern, das Geschlecht und das Geburtsdatum ablesen. Hinzu kommen detaillierte Bestellinformationen, Zahlungsbeträge, sowie Rechnungsnummern und -daten.
In Deutschland betraf dies 2.464.579 Kundendaten. Da brillen.de auch in Spanien aktiv ist, fanden sich 961.000 Datensätze spanischer Kunden. Und aus Österreich waren 90.000 Kundendatensätze betroffen.
Anbieter schließt Datenleck
Die Sicherheitsforscher haben dann den Online-Anbieter brillen.de über ihre Entdeckung in Kenntnis gesetzt, wie sie hier schreiben. Das Unternehmen reagierte sofort mit der Sperrung des Zugangs zu den Daten. Der Elastic Search Cluster wurde zwar bezüglich der Erreichbarkeit per Internet entfernt. Auf deren Internetseite habe ich aber keine Information über ein Datenleck gefunden, man hat wohl stillschweigend korrigiert.
Aktuell bleibt es unklar, wie lange der Cluster offen war. Auch bleibt das Ausmaß des Datenlecks unklar, weil nicht bekannt ist, ob und in welchem Umfang öffentliche Suchmaschinen die Daten indiziert haben. Sobald die Daten indiziert sind, können sie von jedermann eingesehen werden, was eine Goldgrube für Bedrohungsakteure darstellt. Bei einer stichprobenartigen Suche habe ich keine Treffer erzielen können.
Ergänzung: heise hat beim Datenschutzbeauftragten von brillen.de und beim Landesbeauftragten für Datenschutz und Informationsfreiheit von Brandenburg nachgefragt – dort weiß man von nix. Die 72 Stunden Meldefrist sind ja lange vorbei. Jemand aus der Leserschaft Kunde bei brillen.de, der benachrichtigt wurde?
Ergänzung 2: Ein Leser hat mich darauf hingewiesen, dass die IP 18.194.48.17 von Brillen.de auf Shodan.io als indexiert geführt wurden. Die Elasticsearch-Daten sind nicht mehr aufgeführt, da der Port nicht mehr offen ist. Der Leser ist sich nicht sicher, wann genau die Seite geschlossen wurde. Er hat ein letztes Protokoll dieser IP am 27. August 2024 gesehen (Cybernews hat nicht erwähnt, wann genau sie brillen.de kontaktiert haben und wann die Sache geschlossen wurde).
Normalerweise müsste eine Anzeige raus, Datenschutz Strafen hoch sein und auch durchgesetzt werden. Ansonsten ist das alles nur Papierwerk (DSGBO)
Und da in den Bestellungen von Brillen die Sehstärken enthalten waren, handelt es sich dabei um besonders schützenswerte Gesundheitsdaten.
Bitte wegmachen diesen Laden, die Verantwortlichen bitte so abstrafen, dass diese nie mehr wieder irgendwas mit Internet und Plattform und Daten machen werden.
Um Tomas zu bestätigen: DSGVO, zB Erwägungsgrund 35: „Informationen über den früheren, gegenwärtigen und künftigen körperlichen [..] Gesundheitszustand der betroffenen Person [..]“.
Neben fast üblichen Daten stolpert man im Datasample (line 404) bei Cybernews) über ein weitere Attribute: „customer_rank“. Hier lässt sich ggf. eine „automatisierte Entscheidungsfindung“ zB im Sinne eines Profilings der Kunden ableiten (vgl Art. 22 DSGVO). Die Metrik und Folgen wäre offen zu legen, ich tippe auf ein Kunden-Umsatz-Ranking (leider sieht man den VAR-Type nicht). Vom Attribut „passport in line 407“ einmal ganz zu schweigen – was macht ein Brillenverkäufer mit Ausweis-Nummer oder Daten?
Da verkaufen die nun schon Brillen aber bei der eigenen IT sehen sie nicht so genau hin. Evtl. brauchen die Admins ja auch mal ne Brille.
Unfassbar und keiner ahndet das! Da freut sich ja Herr Christian Solmecke über neue Mandanten!
Nö, eine Info von Brillen.de über das Leck an Kunden gab es nicht, zumindest in nicht meinem Fall. Habe vor nicht allzu langer Zeit dort eine Brille anfertigen lassen (Arbeitsplatzbrille), der Anbieter wurde mir vom Arbeitgeber (Rahmenvertrag) auf’s Auge gedrückt, freiwillig hätte ich den niemals ausgewählt.
Allein die Kommunikation über deren Website war ein Graus, nach Lieferung der Brille wurde ich noch über Monate zugespammt mit der Aufforderung endlich meine Brille abzuholen. Der „wunderbare“ Bot für den „Service Chat“auf der Website war dumm wie Brot, erst nach mehrmaliger Androhung den zuständigen DSB zu informieren wurde das durch den „Support“ von brillen.de abgestellt. Einmal und nie wieder, soviel ist sicher.
OT
eine Arbeitsplatz Brille muss Cheffe zahlen.
Unternehmen wie die Brille oder Filemann bieten ein Wohlfühlpaket für Unternehmen an.
Cheffe kann das seinen Mitarbeitern nahelegen, aber der Mitarbeiter bekommt seine Arbeitsplatz Brille auch bei anderen Anbietern bezahlt.
Schließlich ist das kein Helm oder Gehörschutz sondern muss sehr individuell angepasst werden.
Und wenn der Arbeitnehmer dem Anbieter nicht traut, kann er m.W. die Brille woanders auch von Cheffe bezahlen lassen.
Leider fallen auch Betriebsräte darauf rein.
Jetzt gibt es wohl für die Mitarbeiter einen klaren Grund zu einem anderen Anbieter zu gehen. Das Vertrauen ist im Eimer. Nicht nur, weil die Datenbank im Netz stand, sondern wegen dem Versuch, das zu verheimlichen, die möglicherweise 3,5 Mio Betroffenen zu informieren.
Ja, Porto ist teuer. Noch teurer dürfte/müsste die Strafe werden…
Vielleicht melden sie es nicht, weil es nie geschehen ist, einfach ein Fehler bei den Forschern war?
Laut ergänzender Nachfrage beim Brillen.de-Service hat Endkunde nur den Chat, Zitat: „Dies ist das einzige verfügbare Medium“ [Anm.: „der Chat“].
Auf folgende Fragen gab es nur eine Emailadresse als Antwort, jedoch ist man genötigt seine Mail und Name sofort im Chat anzugeben (ohne Belehrung, Zustimmung allenfalls indirekt). Hier ein Auszug, 2 Tippfehler korrigiert:
Antwort:
Der genannte Email-Kontakt stimmt jedoch nicht mit den Daten auf Webseite überein: Frank Steinbrügger RT Date & IT Consulting GmbH Gravenreutherstr. 2 95445 Bayreuth Telefon: 0921 – 7894480.
IP- und Domaintechnisch ist supervista.de per https ein Forward auf Brillen.de – nach whois liegt die Domain bei „PartnerGate GmbH“ sowie „tamiva Ventures GmbH“, Wilhelm-Wagenfeld-Str. 16, evtl die hier, jedoch andere PLZ als 80807 Muenchen. Nach eigener Aussage ein „Angel Investor“ mit 25 Jahren Erfahrung bei Ecommerce und Startups! Da kann ja gar nichts schief gehen!
Nachtrag: Evtl ist das „Achten sie nicht auf die Cliente eine im Chat eingeschlichene Anweisung eines Supervisors mit Spanischen Wurzeln [ La Cliente = der Kunde, Customer ]
Ich bin längere Zeit Kunde über meinen Optiker bei Brillen.de.
Bislang habe ich keine Spams oder andere Meldungen erhalten.
Die dauernde Werbung konnte im Mail abstellen.
@Heiner – ich akzeptiere Deinen Ansatz und versuche Dich zu verstehen… meinst Du mit „Meldungen“ eine Info über Deinen komplett öffentlich einsehbaren Datensatz? Wenn nicht … dann ein Jedoch:
Geht es hier um weit mehr als „keine Spam bekommen“. Es geht um Millionen Kundendaten, Identitäten, Namen, Adressen bis zur Telefonnummer, um Gesundheitsdaten bis zu Dioptrie Maulwurf oder um Kaufverhalten. Dies ohne zu wissen Was weiterhin noch online war, ist oder unter den Teppich gekehrt wird.
Es geht um nicht rechtskonforme Datenhaltung ohne Absicherung, um mögliche Pönalisierung des Anbieters im %-Bereich seines Jahresumsatzes, um „Gewinne First, Bedenken Second“ – oder einfach um Gedankenlose Marketingmaschinerie eines pseudo-hippen Startups mit fragwürdigem, nicht klar kommunizierten Umgang und diversen Auftragsdatenverarbeitern.
Ebenso geht es mE um einen fairen & sozialen Umgang am Markt, um gegenseitigen Respekt beim Umgang mit Daten. Ergänzend um mögliche Risiken – von Betrug, Identitätsdiebstahl oder zuletzt sicher auch „mehr Spam“ für alle Beteiligten.
Da das Leak recht neu schien gibt es Spam wohl eher in naher Zukunft. Somit ist der Schluß von „ich habe keinen Spam“ (Erfahrung in Vergangenheit gerichtet) zu eventuellem „Werbung kann man abstellen“ oder „ist doch nicht so schlimm“ eher so gar kein kausal sinnvoller Schluß, oder?
Soll man jetzt zufrieden beim Filtern der Brille.de-Werbung im Mailer sein?
Ich verstehe die Firmen nicht.
Im Grunde sollte man die mit KLagen überziehen, damit die endlich ihren Kram sicher machen.
Das EuGH hat da kürzlich ein eindeutiges Urteil gesprochen.
„allein der Kontrollverlust über datenschutzwidrig veröffentlichte Daten bereits einen ersatzfähigen Schaden darstellt. Einen Nachweis zusätzlicher konkreter nachteiliger Folgen müssten Betroffene hingegen nicht führen (Rs. C-200/23). “
https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/zwei-wichtige-eugh-entscheidungen-recht-auf-dsgvo-schadensersatz-erneut-massiv-gestaerkt-79665/
Hier ein Link zu bisher noch nicht zitierten Pressemeldung von Brillen.de (18.10.2024).
Ebenso eine erneute Nachfrage aus dem Kundenchat. Einleitung und Floskeln wurden gekürzt (…). [F:]=Frager, [B:]=Brillen-Support
B: Guten Tag
B: Wie kann ich helfen?
F: Hallo Maria, Hallo Brillen.de
…
F: Wir haben in unserre Familie zwei Kunden bei Brillen.de Wir bräuchten eine Info.
F: Uns würd interessieren, wann wir von Brillen.de eine Information über das Datenleck bekommen.
F: Dies ist in der Presse bekannt seit 17.10.2024
F: Beide Accounts haben noch keine Info, weder per Mail noch per Brief.
F: Wie ist hier Ihr Vorgehen, welche Informationen gibt es?
F: Oder will Brillen.de die (über längere Zeit) öffentlichen Kundendaten verschweigen?
B: Es tut mir leid, aber ich habe keine weiteren Informationen, Sie können diesen Link konsultieren oder warten, bis Sie weitere Informationen per E-Mail erhalten: https://www.brillen.de/presse/
F: Der Link ist supi. Leider steht da seit 18. nichts Neues. [genannter LINK]
A: Der Link ist korrekt: https://www.brillen.de/presse/
A: Von der Zentrale aus werden wir so schnell wie möglich eine Mitteilung an alle unsere Kunden senden
F: Wie erfahren wir, ob Sie auch unsere Daten öffentlich gemacht haben?
B: Entschuldigung für die Unannehmlichkeiten
B: Vom Kundendienst hat niemand Kundendaten veröffentlicht
B: Bitte warten Sie auf weitere Informationen per E-Mail
B: Gibt es noch etwas, bei dem ich Ihnen helfen kann?
F: Na :-) nix gegen Sie – aber 3,5 Millionen Kundendaten sind mehr als eine Unannehmlichkeit
B: Natürlich. Bitte warten Sie auf weitere Informationen per E-Mail
F: wie erfahre ich denn, ob UNSERE FAMILIE betroffen ist?
B: Es tut mir leid, aber ich habe keine weiteren Informationen
F: Sollen wir alle Passworte ändern?
F: Soll ich meine Oma vor Betrugsanrufen warnen?
F: Welche Personalausweisdaten speichern sie? Gibt es das Risiko des Identitätsdiebstahls?
B: Es tut mir leid, aber ich habe keine weiteren Informationen
B: Bitte warten Sie auf weitere Informationen per E-Mail
…
B: Ich übermittle Ihre Beschwerde, aber Sie müssen warten, bis Sie Informationen von der Zentrale erhalten
B: Von meiner Abteilung haben wir keine Informationen
B: Es war uns ein Vergnügen, Ihre Fragen zu beantworten. Bitte zögern Sie nicht, uns zu kontaktieren, wenn wir Ihnen helfen können
B: María hat den Chat verlassen