2635684

Marktplätze bei Otto, Kaufland, Mediamarkt etc.: Kundendaten ungeschützt im Web

13.01.2022 | 14:10 Uhr | Hans-Christian Dirscherl

Die Daten von Nutzern von bekannten deutschen Online-Marktplätzen lagen jahrelang ungeschützt im Web. So prüfen Sie, ob Sie betroffen sind.

Die Tagesschau berichtet , dass die Daten von vermutlich über 700.000 Kunden von deutschen Onlineshops seit mehreren Jahren ungeschützt im Internet standen. Bei diesen offen im Web liegenden Daten - die Rede ist von über einer Million Datensätzen - handelt es sich um Mail- und Postadressen, Bestellinformationen, Telefonnummern und teilweise sogar um Bankverbindungen, wie die Tagesschau schreibt. Die betroffenen Kunden seien bisher nicht informiert.

Diese Online-Marktplätze sind betroffen

Betroffen von dieser Sicherheitslücke sind Kunden folgender Online-Marktplätze: Otto, Kaufland (ehemals real), Mediamarkt , Check24, Tyre24, Idealo, Hood und Crowdfox. Über diese Tool sollen Sie prüfen können, ob Sie als Kunde von dem Datenleck betroffen sind.

Technischer Hintergrund: Otto und Kaufland sowie Mediamarkt betreiben auf ihren Seiten auch Marktplätze. Auf diesen Marktplätzen können externe Händler ihre Produkte anbieten. Damit diese externen Händler die großen Verkaufsplattformen nutzen können, müssen sie ihr Warenwirtschaftssystem mit dem Online-Marktplatz über sogenannte Schnittstellen-Dienstleister verbinden. Über diese Schnittstellen werden die Bestelldaten der Kunden für den Händler verarbeitet.

Ein Schnittstellen-Dienstleister versagte

Laut Tagesschau gibt es in Deutschland rund ein Dutzend solcher Schnittstellen-Dienstleister. Bei einem dieser Schnittstellen-Dienstleister waren die Daten ungeschützt. Das führte dazu, dass Daten von Kunden der oben genannten Marktplätze ungeschützt im Web lagen.

Ein Programmierer entdeckte die Lücke im Sommer 2021. Das Datenleck ist zwar mittlerweile geschlossen, die betroffenen Kunden sind laut Tagesschau aber bislang nicht darüber informiert worden.

Otto, Kaufland und Mediamarkt betonen, dass sie datenschutzrechtlich für die Marktplätze nicht verantwortlich seien. Die Plattformen sehen sich nur als "Vermittler zwischen Kunden und Händlern". Die Händler seien die direkten Vertragspartner der Kunden. Daher seien die Händler auch für den Schutz der Kundendaten verantwortlich.

Ob Cybergangster die Daten bereits für Betrügereien nutzen, beispielsweise für Phishingangriffe, ist unbekannt. Denkbar ist das aber, weil das Datenleck drei Jahre lang bestanden haben soll.

Stellungnahme von Otto

Otto schickte uns diese Stellungnahme zu dem Datenleck:

„Es gab bei OTTO kein ‚Datenleck’. Vielmehr erfolgte ein 'Hack' im Juni 2021 bei einem Dienstleister (Modern Solution), den Händler für eine Anbindung an unsere und andere Plattformen nutzten. Die Entscheidung, welcher Dienstleister hier genutzt wird, obliegt ausschließlich den mit uns kooperierenden Händlern. Folglich haben unsere Partner auch einen Vertrag mit eben diesem Dienstleister, stehen nach Art 4 Nr. 7 DSGVO in der datenschutzrechtlichen Verantwortung und sind verpflichtet 'betroffene' Kunden selbst direkt zu informieren. Nach Bekanntwerden des 'Hacks' hat OTTO den Zugang des Dienstleisters umgehend gesperrt und arbeitet seitdem auch nicht mehr mit diesem Unternehmen zusammen. Darüber hinaus haben wir nach dem Vorfall unsere eigenen Sicherheits-Anforderungen an derartige Dienstleister nochmals drastisch erhöht und kontrollieren diese kontinuierlich.“ Zitat Ende

Stellungnahme von Mediamarkt

Ein Sprecher von MediaMarktSaturn antwortete uns folgendes:

„Wir bei MediaMarktSaturn hatten kein Datenleck und wir stehen auch in keiner vertraglichen Geschäftsbeziehung mit dem im Beitrag erwähnten Dienstleister. Die Plattform wird nicht von uns technisch betrieben.

Grundsätzlich gilt: Wir haben umfassende vertragliche Regelungen getroffen, die die angebundenen Händler dazu verpflichten, alle gesetzlichen Datenschutzanforderungen zu erfüllen. Diese Dritthändler verpflichten sich dazu, geeignete technische und organisatorische Maßnahmen zu treffen, um in jeder Hinsicht die Sicherheit der personenbezogenen Daten zu gewährleisten. So muss beispielsweise die sogenannte API-Schnittstelle zwischen unserem Marktplatz und dem Dritthändler wirksam vor unbefugten Zugriffen geschützt werden. Das gilt auch für Dienstleister, die im Auftrag des Händlers die Anbindung realisieren.

Und: MediaMarkt betreibt seinen Marktplatz in einer Beta-Phase seit Sommer 2020. Insofern ist der Vorwurf, dass Daten seit drei Jahren verfügbar seien, für MediaMarkt nicht zutreffend.“ Zitat Ende
 

Volks- und Raiffeisenbank: Raffinierter Angriff auf Kunden

PC-WELT Marktplatz

2635684