Deut­sche Post: Daten von 200.000 Kun­den waren ein­fach herunterladbar

Eine Kopie von Daten­bank­ein­trä­gen der Web­site umziehen.de wur­de ohne Schutz in das Inter­net gestellt. Somit konn­ten die Daten von cir­ca 200.000 Kun­den pro­blem­los her­un­ter­ge­la­den werden.

Han­no Böck (Jour­na­list) hat auf „ZEIT Online” von einer mas­si­ven Sicher­heits­lü­cke berich­tet. Die­se Sicher­heits­lü­cke stammt von dem Por­tal umziehen.de, wel­che von der Deut­schen Post betrie­ben wird.

In sei­nem Bericht schreibt Böck über eine Sicher­heits­lü­cke, durch die man die Adress­da­ten von 200.000 Kun­den der Deut­schen Post her­un­ter­la­den konn­te. Die Sicher­heits­lü­cke ent­stand laut der Post durch Mensch­li­ches Versagen.

Ein Mit­ar­bei­ter der Deut­schen Post hat­te eine Kopie der Daten­bank­ein­trä­ge mit der MyS­QL-Daten­bank­soft­ware erstellt. Die­ser Mit­ar­bei­ter nutz­te ein Bei­spiel die­ser Soft­ware, in der der Datei­na­men dump.sql ver­wen­det wird.

Dar­auf hin hat der Mit­ar­bei­ter auch noch den glei­chen Datei­na­men – also „dump.sql” benutzt – und die Datei auf den Web­ser­ver gespei­chert. Dadurch hat­te jeder, der den Namen der Datei wuss­te oder eher erra­ten hat, die Mög­lich­keit die Daten­bank­ein­trä­ge her­un­ter­zu­la­den, indem man nur https://www.umziehen.de/dump.sql in die Adress­leis­te ein­ge­ge­ben hat.

Da Böck die Post schnell von der Sicher­heits­lü­cke berich­tet hat, hat die Deut­sche Post die­se Daten­bank­ko­pie sofort aus dem Inter­net genom­men und ihre Kun­den über das Pro­blem informiert.

Jedoch sol­len laut Böck auch ande­re Unter­neh­men wie IT-Mar­ket, Phar­ma­cy Online Aus­tra­lia, Revell-shop.de und sehr vie­le wei­te­re die­se Sicher­heits­lü­cke haben. Eini­ge davon haben die Daten­bank auch gelöscht und ihre Kun­den über die­sen Feh­ler unter­rich­tet. Der Spre­cher von IT-Mar­ket aller­dings hat sich gewei­gert die Kun­den zu infor­mie­ren, da in den Log­da­tei­en kei­ne wei­te­ren Zugrif­fe sehen konnte.

Anmer­kun­gen zum Bei­trag? Hin­weis an die Redak­ti­on sen­den.