Eine Kopie von Datenbankeinträgen der Website umziehen.de wurde ohne Schutz in das Internet gestellt. Somit konnten die Daten von circa 200.000 Kunden problemlos heruntergeladen werden.
Hanno Böck (Journalist) hat auf „ZEIT Online” von einer massiven Sicherheitslücke berichtet. Diese Sicherheitslücke stammt von dem Portal umziehen.de, welche von der Deutschen Post betrieben wird.
In seinem Bericht schreibt Böck über eine Sicherheitslücke, durch die man die Adressdaten von 200.000 Kunden der Deutschen Post herunterladen konnte. Die Sicherheitslücke entstand laut der Post durch Menschliches Versagen.
Ein Mitarbeiter der Deutschen Post hatte eine Kopie der Datenbankeinträge mit der MySQL-Datenbanksoftware erstellt. Dieser Mitarbeiter nutzte ein Beispiel dieser Software, in der der Dateinamen dump.sql verwendet wird.
Darauf hin hat der Mitarbeiter auch noch den gleichen Dateinamen – also „dump.sql” benutzt – und die Datei auf den Webserver gespeichert. Dadurch hatte jeder, der den Namen der Datei wusste oder eher erraten hat, die Möglichkeit die Datenbankeinträge herunterzuladen, indem man nur https://www.umziehen.de/dump.sql in die Adressleiste eingegeben hat.
Da Böck die Post schnell von der Sicherheitslücke berichtet hat, hat die Deutsche Post diese Datenbankkopie sofort aus dem Internet genommen und ihre Kunden über das Problem informiert.
Jedoch sollen laut Böck auch andere Unternehmen wie IT-Market, Pharmacy Online Australia, Revell-shop.de und sehr viele weitere diese Sicherheitslücke haben. Einige davon haben die Datenbank auch gelöscht und ihre Kunden über diesen Fehler unterrichtet. Der Sprecher von IT-Market allerdings hat sich geweigert die Kunden zu informieren, da in den Logdateien keine weiteren Zugriffe sehen konnte.