Datenleck in Online-Shop von Schlecker

Update Benjamin Beckmann
30 Kommentare

Profildaten von Online-Kunden aus Deutschland und Österreich des Drogeriemarktes Schlecker waren bis gestern über das Internet frei zugänglich. Die einsehbaren Informationen umfassten neben Geburtsdatum, Anschrift und E-Mail-Adressen auch Datensätze, welche eine Ermittlung der jeweilig gekauften Waren ermöglichen können.

Laut Schlecker sei das Datenleck mittlerweile vom zuständigen externen Dienstleister versiegelt worden und die betroffenen Kunden werde man „umfassend informieren“.

Man vermute, dass es sich um eine firmeninterne Ursache handle und habe Anzeige gegen unbekannt erstattet. Delikat ist zudem, dass besagter externer Dienstleister auch Dienste für das Bundesverwaltungsgericht, das Finanzministerium, den SPD-Parteivorstand und auch die Allianz-Versicherung erbringt.

Update

Wie der Vorsitzende der Artegic AG – der externe Dienstleister, welcher die Kundendaten Schleckers betreute – erklärte, war der Zugriff auf die insgesamt etwa 150.000 Datensätze nur deshalb möglich gewesen, weil jemand, der die notwendigen Zugangsdaten hierfür besaß, „ein Programm aufgespielt hat“. Dieses soll eine Hintertür geöffnet haben, die darin bestand, dass sich bei genauerer Betrachtung des Seitenaufbaus der Schlecker-Homepage eine PHP-Datei finden ließ, die bei eingehender Analyse ein Passwort preisgab, welches einen Zugang zu den sensiblen Daten ermöglichte.

Wer nun genau dies Datenleck geschaffen habe, wisse man noch nicht, aber man sei dabei, die „Ursachen und Täter zu ermitteln“, so der Geschäftsführer weiter.

Wir bedanken uns bei Maximilian S.
für das Einsenden dieser Meldung.