Datenleck bei TNS Infratest

Der Chaos Computer Club (CCC) hat ein Datenleck auf einer Webseite des Meinungsforschungsinstitutes TNS Infratest aufgedeckt. Auf einer Plattform zur Durchführung von verdeckten Testkäufen konnten mehr als 40.000 detaillierte Kundenprofile eingesehen werden.

Dem Chaos Computer Club wurde die Internetadresse einer Plattform zugespielt, auf der die ausführlichen Profile verschiedener Testkäufer einsehbar waren. Neben Namen und Anschriften sind in den Datensätzen Geburtsdatum, E-Mailadressen und Telefonnummern vermerkt. Zahlreiche Datensätze sind zudem mit sensiblen Informationen gespickt: Monatseinkommen, Ausbildung, Kontoverbindungen, Krankenversicherungen, ob und welche Kreditkarten benutzt werden, welche elektronischen Geräte im Haushalt verwendet werden, Alter der Kinder und viele weitere private Daten.

Testkäufe durch sogenannte "Mystery Shopper" sind ein verbreitetes Mittel, um die Service-Qualität von Unternehmen unter die Lupe zu nehmen. Unverdächtige Kunden werden in Filialen geschickt, um sich beraten zu lassen oder bestimmte Produkte zu bestellen. Nach dem Testkauf müssen sie ihre Erfahrungen in ausführlichen Fragebögen festhalten. Die betroffenen Testkäufer hatten auf der Plattform ihre Daten freiwillig hinterlassen, um für bezahlte Testeinsätze eingeteilt zu werden. Mit jedem beliebigen Account zu dem Portal konnten aber alle Datensätze abgefragt werden. Mit einem kleinen Python-Skript (PDF-Datei) fragten die Hacker über 41.000 Datensätze ab. Lediglich die sechsstellige Kunden-ID in der URL mussten sie dafür ändern.

"TNS Infratest hat einen Anfängerfehler bei der Entwicklung seiner Software gemacht. So etwas ist unprofessionell, grob fahrlässig und außerdem einfach peinlich", kommentierte Dirk Engling vom CCC den Datenunfall. "Da es sich um persönlichste Daten handelt, bei denen ein Missbrauch, wie etwa durch Identitätsdiebstahl oder zur Vorbereitung von Einbrüchen, nicht ausgeschlossen werden kann, muss TNS Infratest dringend die Betroffenen informieren", fordert er weiter.

Infratest zeigt sich auf Nachfrage von heise online problembewusst. "Fünf Minuten nachdem uns der Chaos Computer Club informiert hat, war die Seite offline", erklärt Unternehmenssprecher Martin Kögel. Bevor man die Webseite wieder ins Internet stelle, wolle man ein externes Sicherheitsunternehmen mit einer ausführlichen Prüfung beauftragen.

Kögel betont, dass die Daten nicht ungeschützt im Internet standen. Nur weil den Hackern das Passwort eines Testkäufers zugespielt worden sei, hätten sie Zugriff gehabt. Rechtliche Schritte gegen den Hacker-Verein plant Infratest laut Kögel nicht: "Wir haben ein gutes Verhältnis mit dem CCC und sind froh, dass er uns auf dieses Problem aufmerksam gemacht hat." (Torsten Kleinz) / (anw)