Datenleck bei Bauhaus: Bestelldaten waren über Suchmaschinen auffindbar
Bestellungen von Inhabern einer Plus Card von Bauhaus ließen sich wohl einfach via Google oder Bing auffinden und abrufen. Praktisch jeder konnte so auf die Bestelldaten zugreifen. Das Datenleck ist zwar inzwischen geschlossen, wie viele Kunden letztendlich betroffen sind, ist aber noch unklar.
Datenleck betrifft Bauhaus-Kunden mit Plus Card
Im Onlineshop der Baumarktkette Bauhaus gab es offenbar ein Datenleck, durch das Bestellungen einiger gewerblicher Kunden frei zugänglich und obendrein sogar über Suchmaschinen wie Google oder Bing auffindbar waren. Betroffen waren davon wohl Besitzer einer Plus Card, wie Günter Born in seinem IT- und Windows-Blog berichtet.
Die Plus Card richtet sich an Gewerbetreibende und verspricht eine Rückvergütung in Höhe von 10 Prozent ab einer jährlichen Einkaufssumme von mindestens 5.000 Euro. Besitzer dieser Karte profitieren außerdem von „Sonderaktionen“ sowie der Möglichkeit, Waren auf Rechnung zu kaufen.
Gemeldet wurde das Datenleck wohl von einem Leser von Borns Blog, der anonym bleiben wollte. Dieser habe sich lediglich über die Plus Card informieren wollen, habe dabei jedoch auch detaillierte Informationen über Bestellungen gefunden, die fremde Besitzer der Karte aufgegeben hatten. Der Zugriff auf diese Daten gelang angeblich ohne jegliche Anmeldung auf der Bauhaus-Webseite.
Bauhaus-Bestellungen waren für jedermann abrufbar
Wie einem von Born in seinem Blogbeitrag geteilten Screenshot zu entnehmen ist, war in den URLs, mit denen sich die Daten der einzelnen Bestellungen abrufen ließen, immer auch die zugehörigen Bestellnummern enthalten. „Mit der URL, die für Plus-Card-Inhaber eigentlich nach einer Anmeldung die Bestellvorgänge auflisten soll, war ich auch ohne Plus Card, und folglich ohne Anmeldung, in der Lage, solche Bestelldaten einzusehen“, so Born.
Weiter erklärt Born, er habe im Rahmen seiner Stichproben durch Eingabe verschiedener Bestellnummern in der URL Bestelldaten fremder Personen bis zurück ins Jahr 2021 einsehen können. Dort enthalten waren Informationen wie Rechnungsadressen, Lieferadressen, Zahlungsarten, Zahlungsbeträge, die jeweiligen Bestellzeitpunkte sowie auch die im Rahmen der Bestellungen erworbenen Produkte.
Reaktion erfolgte wohl innerhalb eines Tages
Born behauptet, er habe das Datenleck am 30. Oktober an den zuständigen Landesdatenschutzbeauftragten von Baden-Württemberg sowie auch den Datenschutzbeauftragten von Bauhaus gemeldet. Einen Tag später sei der Fehler behoben worden. In Bezug auf den Cache von Microsofts Suchmaschine Bing musste die Baumarktkette aber wohl nochmal nachbessern – dort seien die Daten danach noch immer aufgetaucht. Auch dieses Problem sei aber einige Tage später augenscheinlich gelöst worden.
Wie lange das Datenleck tatsächlich bestand und wie viele Kunden davon betroffen sind, ist laut Born noch unklar. Besitzern einer Plus Card wird empfohlen, von ihrem Auskunftsrecht gemäß DSGVO Gebrauch zu machen und sich bei Bauhaus zu erkundigen, ob ihre Daten möglicherweise abgeflossen sind. Die dafür erforderlichen Kontaktdaten sind auf der Webseite des Unternehmens zu finden.