Zotac-Panne: RMA-Dokumente und Händlerrechnungen online einsehbar
Eine falsche Servereinstellung ließ Google unzählige Dokumente von Zotac USA indexieren. Private Daten und Rechnungen an Wiederverkäufer wurden so öffentlich.
Wer in den USA eine Zotac-Grafikkarte wie die gezeigte GeForce RTX 4080 gekauft und einen RMA-Fall geöffnet hat, konnte seine Dokumente über Google finden.
(Bild: c't)
- Mark Mantel
- Nico Ernst
Eine kleine Schusseligkeit sorgte für große Auswirkungen bei der US-Niederlassung des Hardware-Herstellers Zotac. Dokumente aus unzähligen Garantiefällen und anderen Geschäftsvorgängen waren online über simple Suchmaschinenabfragen aufrufbar, etwa über Google.
Das betraf auch Unterlagen, die über das offizielle RMA-Formular (Return Merchandise Authorization) hochgeladen wurden. Dazu gehörten maßgeblich Rechnungen, die Kundinnen und Kunden als Kaufbeweis einreichten. So waren Namen, Wohn- und Mail-Adressen und gegebenenfalls Telefonnummern einsehbar. Zotac verkauft unter anderem Grafikkarten und Mini-PCs.
Darauf macht der YouTube-Kanal "Gamers Nexus" aufmerksam. Ein Zuschauer wies auf das Problem hin, nachdem er einen eigenen RMA-Fall über die Google-Suche seines eigenen Namens gefunden hatte. Dieser Fall war ein Jahr alt – dementsprechend lange existierte das Problem mindestens schon. Offenbar landeten alle über das Upload-Formular auf Zotacs Webseite hochgeladenen Dateien in einem Verzeichnis eines Webservers, das für Suchmaschinen als indexierbar markiert und über das öffentliche Internet zugänglich war.
Erst auf Druck nachgebessert
Gamers Nexus informierte Zotac über das Problem und einige Tage später war das Dokument des Zuschauers nicht mehr abrufbar. Wohl aber andere Unterlagen, die der YouTube-Kanal einsehen konnte und in seinem Video auch zeigt. Darunter finden sich auch etliche Rechnungen, die Zotac an Wiederverkäufer in den USA gestellt hat. Darin sind Grafikkarten und andere Geräte detailliert samt der Preise und Zahlungskonditionen aufgeführt. Auch große US-Händler wie Micro Center oder der PC-Anbieter Cyberpower konnten so ihre Konditionen mit denen von direkten Konkurrenten vergleichen. Die Unterlagen reichen bis ins Jahr 2021 zurück.
Erst als Gamers Nexus Zotac und gewerbliche Kunden über diese Dokumente informierte, kam schnell Bewegung in die Sache: Binnen vier Stunden, so Steve Burke, Gründer und Moderator des Kanals, war die Fehlkonfiguration geändert. Aus dem Netz sind die Unterlagen damit aber noch nicht. Über den Cache von Suchmaschinen waren sie auch am vergangenen Wochenende noch abrufbar, wie heise online stichprobenartig überprüft hat. Damit auch das nicht mehr klappt, müsste Zotac Löschanfragen stellen. Ob das bereits geschah, ist derzeit nicht bekannt. Steve Burke empfahl das dem Unternehmen in einem Gespräch, wie er heise online sagte.
Was Kunden und Unternehmen tun können
Aus dem Fall lassen sich zwei Lehren ziehen: Wenn Unternehmen – berechtigterweise – für die Abwicklung eines Garantiefalls etwa einen Kaufbeleg anfordern, sollte man diesen soweit möglich anonymisieren und per E-Mail verschicken. Gibt es nur ein Web-Formular zum Upload, sollte man besonders vorsichtig sein. Falls möglich, sollten dort keine unzensierten Rechnungen mit persönlichen Daten hochgeladen werden.
Und für Firmen, die derartige Systeme betreiben, gilt wie eh und je: Kundendaten dürfen, auch schon aus rechtlichen Gründen, nicht wie in einem Web-Drive-Speicher in einem öffentlich zugänglichen Verzeichnis gesammelt werden. Solche "browsable directories" im offenen Internet sind nicht nur aus Gründen des Datenschutzes ein Unding, sondern auch ein idealer Angriffspunkt für das Ausspähen und für anschließende Einbruchsversuche in ein Netzwerk.
(nie)