Wie derzeit überall zu lesen ist, haben diesmal die Datenforscher bei TNS Infratest/Emnid die persönlichen Daten von Testkäufern ins Internet gestellt. Bei Heise.de steht es so:
Neben Namen und Anschriften sind in den Datensätzen Geburtsdatum, E-Mailadressen und Telefonnummern vermerkt. Zahlreiche Datensätze sind zudem mit sensiblen Informationen gespickt: Monatseinkommen, Ausbildung, Kontoverbindungen, Krankenversicherungen, ob und welche Kreditkarten benutzt werden, welche elektronischen Geräte im Haushalt verwendet werden, Alter der Kinder und viele weitere private Daten.
Die Kollegen vom CCC untersuchten das und konnten mit einen recht simpel klingenden Trick über 41.000 Datensätze auslesen. Dazu musste man nur eine an die Adresse angehängte ID ändern (Quelle CCC), im Beispiel "XXXX":
https://
www.report-global.com/mimitacon/(kkpadc20lxlev5qcbvgvq3u4)/pages/business/masterdata.aspx?fromWhere=base&id=11XXXX
Ich bin mal gespannt, ob der Verursacher hier anständig reagiert und neben der Beseitigung der kritischen Lücke sich auch bei den Betroffenen entschuldigt. So richtig einsichtig zeigen sich die Verantwortlichen aber nicht. Sie spielen es herunter, weil nur Umfrageteilnehmer (bzw. Leute die ein Passwort eines Teilnehmers erraten oder ergaunern) die Daten der Anderen sehen konnten. Ich hoffe die Manager müssen nicht am eigenen Account erleben was es für eine "riesige" Hürde ist, Passwörter zu erraten. Wer es auch nicht glaubt, der kann ja mal eine Liste auf die beliebtesten Passwörter in Deutschland werfen… "123456" ist die Nummer Eins. Noch Fragen?
Update 5.7.2008: Auf deren Webseite steht dazu, dass sie die Webseite nach 5 Minuten vom Netz genommen haben. Wobei sie vermutlich meinen nachdem sie informiert wurden. Wie lange die Webseite derartig offen war, schreiben sie allerdings nicht… 😉