brillen.de: HintergrĂĽnde zum Datenleck
Mitte November wurde ein Datenleck bei brillen.de bekannt. Die Untersuchung des Vorfalls liefert erste Details zu den Ursachen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Mitte November wurde bekannt, dass Daten von mehr als 3,5 Millionen europäischen Kunden von brillen.de frei zugänglich im Netz standen. Inzwischen hat der Betreiber des Angebots Supervista die Untersuchungen weitgehend abgeschlossen.
Auf dem brillen.de-Webauftritt hat das Unternehmen eine Kundeninformation zu dem Vorfall veröffentlicht. Auf unsere Nachfrage hat Supervista weiterreichende Informationen herausgegeben. "Am 7. August 2024 wurde durch eine Fehlkonfiguration eines Server-Ports auf drei AWS-gehosteten Servern bei Supervista eine potenzielle Sicherheitslücke eröffnet. Ein Mitarbeiter hatte zu Testzwecken eine Eingangsregel hinzugefügt, die Zugriff über Port 9200/TCP ermöglichte, ging jedoch irrtümlich davon aus, dass diese Sicherheitsgruppe ausschließlich für Test-Systeme genutzt würde", erklärt ein Jurist des Unternehmens gegenüber heise online.
Unerkannte Fehlkonfiguration als Ursache
Es sei zudem kein Authentifizierungsmechanismus aktiviert worden. "Nach Abschluss der Tests vergaß der Mitarbeiter, die Eingangsregel wieder zu entfernen, was einen externen, unautorisierten Zugriff ermöglichte", so der Unternehmenssprecher weiter.
Bereits am 9. August habe das System von Supervista einen ungewöhnlichen Zugriff von einer externen IP-Adresse erkannt. Der Zugriff sei umgehend blockiert worden. Der Konfigurationsfehler sei dem Mitarbeiter nicht bewusst gewesen, weshalb der Zugriff nicht auf den offenstehenden Server-Port zurückgeführt wurde. Dem heutigen Kenntnisstand nach hat es sich um den Zugriff von Cybernews gehandelt, die die offenstehende Elasticsearch-Instanz entdeckt und gemeldet hatten.
Die fehlerhafte Konfiguration wurde am 28. August entdeckt und korrigiert. "Die betroffenen Ports wurden geschlossen und die Authentifizierung auf den Elasticsearch-Instanzen aktiviert. Der Vorfall wurde jedoch erst am 17. Oktober 2024 an das Management und den Datenschutzbeauftragten gemeldet, da die Mitarbeitenden ihn zunächst nicht als Datenschutzvorfall einstuften", ergänzt Supervista.
GegenmaĂźnahmen ergriffen
Nebst der technischen Absicherung der Systeme hat Supervista als Reaktion auf den IT-Sicherheitsvorfall Prozesse etwa zu Netzwerkänderungen überarbeitet, eine forensische IT-Analyse und Prüfung der IT-Sicherheitsresilienz vorgenommen, Mitarbeiter-Gespräche geführt sowie Briefings und Schulungen der IT-Mitarbeiter bezüglich Datenschutzanforderungen und IT-Vorfällen vorgenommen. Weitere Maßnahmen und Schulungen etwa bezüglich Datenschutz für alle Mitarbeiter stehen auch auf der Liste. Die Google-Tochter Mandiant wurde mit Darknet-Monitoring bezüglich Handel mit den potenziell erbeuteten Daten beauftragt, bislang sei jedoch kein Datenmissbrauch festgestellt worden. Die Webseite brillen.de informiert seit dem 18. und 30. Oktober über den Vorfall.
Die österreichische Datenschutzbehörde hat Supervista zufolge am 20. Oktober das Verfahren zu dem Vorfall eingestellt. Auf Nachfrage von heise online erklärte ein Sprecher der brandenburgischen Datenschutzbeauftragten, dass die Behörde dem Hinweis noch nachgehe. "In der Zwischenzeit haben wir zudem eine Meldung des Verantwortlichen nach Artikel 33 Datenschutz-Grundverordnung erhalten", bestätigte der Sprecher, "auch liegen uns Beschwerden betroffener Personen vor". Da die Bearbeitung noch nicht abgeschlossen sei, könne man noch kein Ergebnis mitteilen.
(dmk)