Datenlecks bei Verivox und Check24: Sensible Kundendaten wochenlang frei im Netz

Die beiden großen Vergleichsportale Verivox und Check24 stehen wegen massiver Sicherheitslücken in der Kritik.

Persönliche Daten von Kunden wie Name, Einkommen und Adresse waren monatelang leicht zugänglich. Die Schwachstellen traten bei der Kreditvermittlung auf und könnten Millionen Menschen betroffen haben, wie Recherchen von CORRECTIV zeigen. Verivox und Check24 bestätigten die Sicherheitsprobleme, wobei Verivox angab, die Lücke im August sofort geschlossen zu haben. Check24 reagierte ähnlich, machte aber keine Angaben zur Zahl der betroffenen Nutzer.

CCC stuft Vorfall als „Supergau“ ein

Entdeckt wurden die Probleme durch einen anonymen IT-Experten, der die Datenlecks meldete. Für den Chaos Computer Club (CCC), der den Vorfall öffentlich machte, handelt es sich um einen „Supergau“, da sensible Informationen wie Finanzdaten und private Informationen frei zugänglich waren. Besonders brisant: Um die Schwachstellen auszunutzen, musste man kein registrierter Kunde sein. Bei beiden Portalen war es möglich, durch einfache Manipulation der URL auf die Daten anderer Nutzer zuzugreifen. Bei Check24 funktionierte dies mit einem Universalpasswort, bei Verivox sogar ganz ohne Passwort.

Die Unternehmen behaupten, keinen unberechtigten Zugriff auf die Daten festgestellt zu haben. Dennoch könnten auf Verivox und Check24 aufgrund der Vorfälle rechtliche Konsequenzen und Schadenersatzforderungen zukommen, insbesondere wenn der Verdacht besteht, dass die Daten missbräuchlich verwendet wurden. Die Datenschutzbehörden prüfen nun die Fälle und es bleibt abzuwarten, ob die betroffenen Unternehmen ihre Kunden über die Gefährdung ihrer Daten informieren müssen.