Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsDatenleck bei Bauhaus: Bestelldaten waren über Suchmaschinen auffindbar
Bestellungen von Inhabern einer Plus Card von Bauhaus ließen sich wohl einfach via Google oder Bing auffinden und abrufen. Praktisch jeder konnte so auf die Bestelldaten zugreifen. Das Datenleck ist zwar inzwischen geschlossen, wie viele Kunden letztendlich betroffen sind, ist aber noch unklar.
Bei meinen Stichproben war ich in der Lage, durch Variation der Bestellnummer zahlreiche Bestellvorgänge bis ins Jahr 2021 zurück anzusehen. Dabei wurden mir Rechnungsadresse, Lieferadresse, Zahlungsart etc. des letzten Bestellers angezeigt. Den Hyperlink "Alle Rechnungen herunterladen" habe ich nicht mehr getestet. Quelle
Kritisch war auch, dass der Bing Cache so lange zum leeren gebraucht hat. Dadurch waren die Informationen in Windows CoPilot jedem weltweit zugänglich, wenn man die richtige Frage parat hatte.
Ich halte es unter diesem Blickwinkel für absolut hirnrissig, wenn Unternehmen Copilot auf interne Dokumente los lassen. Jeder kleinste Fehler kann dazu führen, dass die Daten nach draußen weiter gereicht werden. Quelle
Bei Bauhaus wird Datenschutz wohl auch kaum beachtet, war ja schon so immer ein Saftladen
Könnte man wenn man betroffen ist doch sicher klagen oder? DSGV usw.
@Termy Also spätestens auf einer QA/UAT Umgebung sollte das auffallen, auch wenn man bei irgendwelchen Tests geschlampt hätte und als erstes hätte es beim Code Review vorm Merge auffallen müssen, aber wer weiß wie die Arbeiten oder wie lange das schon so war...😅
@Termy Also spätestens auf einer QA/UAT Umgebung sollte das auffallen, auch wenn man bei irgendwelchen Tests geschlampt hätte und als erstes hätte es beim Code Review vorm Merge auffallen müssen, aber wer weiß wie die Arbeiten oder wie lange das schon so war...😅
Weiter erklärt Born, er habe im Rahmen seiner Stichproben durch Eingabe verschiedener Bestellnummern in der URL Bestelldaten fremder Personen bis zurück ins Jahr 2021 einsehen können.
Also lautet die Antwort wohl Jahre...weil rückwirkend auf so alte Daten zugriff zu bekommen passiert eigentlich nicht im nachhinein. Und wenn da Daten Crawler drüber gestolpert sein sollten sind die eh schon in irgendeiner Datenbank als Kopie lagernd und werden zum Verkauf angeboten werden...
Und warum nicht? Wenn da ein neuer Endpoint eingepflegt wurde kann der ja auch auf Daten zugreifen, die vor seiner Geburt in der Datenbank gelandet sind?
Bei Bauhaus wird Datenschutz wohl auch kaum beachtet, war ja schon so immer ein Saftladen
Könnte man wenn man betroffen ist doch sicher klagen oder? DSGV usw.
Ein mutmaßliches Versehen bei einem IT-Dienstleister hat eher nichts mit der generellen Einstellung zum Datenschutz und auch nichts mit der Qualität von Bauhaus als Baumarkt zu tun.
Und wenn du Anhaltspunkte hast, dass Bauhaus den Datenschutz nicht ernst nimmt (Was für mich impliziert, dass du abseits dieser News Verstöße festgestellt hast.), dann kannst du die zuständige Datenschutzbehörde informieren.
Ich arbeite für dieses Unternehmen und kann dir sagen, die kriegen eine genauso schlechte Bezahlung wie wir Verkäufer oder sonst wer. Das Einzige was da hilft, ist von da weg kommen, denn überall ist es besser.
Dass Datenschutz nicht so groß geschrieben wird, wundert mich aber nicht. Eher verwundert es mich, dass so ein Datenleck so lange gebraucht hat, herauszukommen.
Das ergibt leider null Sinn und kommt absolut auf die Implementation an wie ich was abfragen kann. Ich kann in ein bestehendes System auch einen komplett neuen Endpoint einbauen der mir für eine Bestellnummer diese als ASCII Art ausgibt und kann darüber dennoch auf alle Bestellnummern in der Datenbank zugreifen, wenn es nicht in einer der Schichten limitiert wird.
Besitzern einer Plus Card wird empfohlen, von ihrem Auskunftsrecht gemäß DSGVO Gebrauch zu machen und sich bei Bauhaus zu erkundigen, ob ihre Daten möglicherweise abgeflossen sind.
Man muss selber aktiv nachfragen? Ich hatte dieses Jahr von meiner Versicherung ein Schreiben bekommen, dass es bei Ihnen zu einem Angriff gekommen ist und sie derzeit prüfen, ob und wenn ja, welche Kundendaten abgeschöpft worden sind. Dieses Schreiben kam unaufgefordert und ich dachte, die DSGVO sieht das auch so vor.
Ein mutmaßliches Versehen bei einem IT-Dienstleister hat eher nichts mit der generellen Einstellung zum Datenschutz und auch nichts mit der Qualität von Bauhaus als Baumarkt zu tun.
Ach nein? Natürlich kann es auch nur der IT-Dienstleister sein, der plötzlich ne 180° Wende in der Qualität hingelegt hat.
Viel wahrscheinlicher: für diese lästige IT wird das billigste vom billigsten genommen, völlig egal was für Referenzen der Dienstleister sonst so hat. Security und Datenschutz tauchen im Lastenheft noch nicht mal auf, werden natürlich bei der Abnahme nichtmal mit dem Arsch angeschaut und im Kopf der Manager ist selbst das noch zu teuer.
Das lässt in meinen Augen durchaus zumindest mal plausible Annahmen mit recht hoher Trefferrate bzgl der "generellen Einstellung zum Datenschutz" zu
Jaja, die Leute lachen mich immer aus, wegen meiner paranoiden Art. Aber genau deswegen habe ich beinahe in keinem Shop einen Account. Nur die wirklich sehr großen für mich wichtigen haben meine Daten. Sonst nur als Gast und via PayPal, kein KreditMist oder KlarnaDreck. Bleibt mir bloß weg mit euren tollen Accounts und Benefit/Insider/SuperMitgliedschaften. Wenn Account sein muss, nur mit Wegwerfmail. Dann kann man wenigstens das abändern / wegwerfen. Für privat gibt’s ne Nummer, sonst gibt’s Wegwerfnummern. Man kann’s nur predigen, machen muss jeder selbst.
Oh und DSGVO - so Datenschutz … das wird hoffentlich teuer für den Verein!
