Datenschutz-Panne bei Accentures Online-Bewerbung

Durch einen Fehler auf den Webseiten der Online-Bewerbung der Unternehmensberatung Accenture war es bis zum gestrigen Dienstagabend möglich, teilweise Daten des vorhergehenden Bewerbers einzusehen. Dazu waren keine Hacks und Tricks vonnöten. Es reichte aus, einfach die entsprechenden Bewerbungsseiten aufzusuchen. In den dortigen Eingabemasken fanden sich dann neben Anschrift und Anschreiben auch Lebenslauf mit Abschlüssen, ehemaligen Arbeitgebern sowie Gehaltswunsch und möglicher Eintrittstermin. Offenbar waren aber nur Teile derjenigen Bewerber einsehbar, die während des Ausfüllens von vier Webformularen zwischendurch den "Zurück"-Link angeklickt hatten, um Daten zu ändern. Insgesamt konnten Besucher der Seite damit in vier Masken Datenfragmente von vier verschiedenen Bewerbern abrufen.

Wie lange der Fehler unbemerkt blieb, ist unbekannt. Accenture hat gestern die Seiten vom Netz genommen. Bis zur Beseitigung des Problems sind nur schriftliche Bewerbungen möglich. Nach ersten Angaben von Petra Grotenrath, Datenschutzbeauftragte von Accenture, liegt der Fehler wohl nicht am Server und den darauf laufenden Java-Server-Pages, sondern an einem vorgelagerten Caching-Server. Aufgefallen war der Fehler einem Bewerber, der die Sicherheitslücke an heise Security weitermeldete. (dab)