Suchen

Datenpanne Deutsche Post lässt 200.000 Kundendatensätze offen im Netz liegen

| Redakteur: Franz Graser

Auf einem Portal der Deutschen Post ist eine Datenbank mit rund 200.000 Kundenadressen offen abrufbar gewesen. Das berichtet Zeit Online. Personen mit vergleichsweise geringen IT-Kenntnissen hätten die Daten problemlos herunterladen können.

Firma zum Thema

Datenpanne beim Umzugsportal der Post: Ein menschlicher Fehler bei einem Sicherheitsupdate sorgte dafür, dass 200.000 Adressdaten im Prinzip ungeschützt auf dem Webserver lagerten.
Datenpanne beim Umzugsportal der Post: Ein menschlicher Fehler bei einem Sicherheitsupdate sorgte dafür, dass 200.000 Adressdaten im Prinzip ungeschützt auf dem Webserver lagerten.
(Bild: gemeinfrei / CC0 )

Nach dem Bericht von Zeit Online war das Portal umziehen.de von dem Datenleck betroffen. Diese von der Post betriebene Webseite versendet unter anderem kostenlose Umzugsmitteilungen an Banken, Versicherungen oder Zeitungsverlage.

Infolge eines Fehlers waren etwa 200.000 dieser Adressdatensätze auf der Website zugänglich. Schon mit relativ geringen Systemkenntnissen hätten Datendiebe die Informationen herunterladen können.

Das Problem war ironischerweise im Rahmen eines Sicherheits-Updates des Portals aufgetreten. Eine Sicherheitskopie der Datensätze war angelegt, aber nach dem Einspielen der Aktualisierung nicht wieder gelöscht worden.

Da die Sicherheitskopie direkt auf dem Webserver lag, hätte man die SQL-Datei einfach durch Eingabe der Internetadresse https://umziehen.de/dump.sql einfach herunterladen können.

Wie der Autor der Beitrags auf Zeit Online, Hanno Böck, schreibt, war hierfür kaum Expertenwissen notwendig. In der Dokumentation der freien Datenbanksoftware MySQL gibt es demnach ein Anwendungsbeispiel, in dem eine Datenbankdatei mit exakt diesem, Namen angelegt wird.

Jeder, der sich etwas gründlicher mit der weit verbreiteten Datenbanksoftware befasst, hätte also durch Eingabe dieses Muster-Dateinamens vollen Zugriff auf die Adressdatenbank gehabt. Der Autor des Beitrags hat nach eigenen Angaben die Post über das Problem informiert.

Mit diesem Leichtsinn ist allerdings die Post nicht allein: Der Autor des Zeit-Beitrags gibt an, er hätte durch das „Ausprobieren typischer Dateinamen“ auf mehr als 2.000 weitere Datenbanken verschiedener Online-Dienstleister zugreifen können. Darunter war auch die australische Online-Apotheke Pharmacy Online Australia, bei der 600.000 Adressen inklusive sensibler Informationen über Medikamentenbestellungen im Prinzip frei zugänglich waren.

(ID:44771485)