Münchner Versandhändler Datenleck bei Online-Windeldienst verriet sensible Kundendaten

Ein Versandhändler für Baby- und Kinderbedarf ließ laut IT-Sicherheitsexperten mehrere Terabyte Daten von Kunden und deren Kindern ungeschützt im Netz stehen. Das Unternehmen reagierte offenbar erst spät.
Neugeborene im Krankenhaus: Datenleck bei Windel-Kunden.

Neugeborene im Krankenhaus: Datenleck bei Windel-Kunden.

Foto: PAWAN KUMAR/ REUTERS

IT-Sicherheitsexperten der Website "Safety Detectives" berichten von einer groben IT-Schwachstelle bei dem deutschen Unternehmen Windeln.de. Die Sicherheitsforscher stellten demnach fest, dass eine Datenbank mit 6,4 Terabyte Daten offen im Netz stand. Jeder, der die Adresse des Servers kannte, konnte demnach darauf zugreifen. Ein Passwort sei nicht notwendig gewesen, berichten die IT-Experten in einem Blog-Beitrag .

In der Datenbank befanden sich demnach auch Informationen wie E-Mail-Adressen, Telefonnummern, IP-Adressen, Bestelldetails sowie Namen und Anschriften von Kunden. In einigen Fällen seien auch Namen, Geburtsdatum und Geschlecht der Kinder von Windeln.de-Kunden in der Datenbank hinterlegt gewesen seien, berichtet "Safety Detectives".

Windeln.de verkauft unter anderem Hygieneprodukte sowie Spielzeug und Kleidung für Babys und Kinder. Laut eigenen Angaben hatte das Unternehmen 2018 mehr als 500.000 aktive Kunden.

Schwachstelle offenbar inzwischen behoben

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt auf SPIEGEL-Anfrage, dass man Windeln.de am 22. Juni über die offene Datenbank informiert habe. Das Unternehmen habe die Sicherheitslücke geschlossen, nachdem das zum BSI gehörende Computer-Notfallteam CERT-Bund Windeln.de informiert hatte, sagte eine BSI-Sprecherin. Laut den IT-Sicherheitsforschern hatte Windeln.de zuvor nicht auf ihre Nachrichten reagiert, weshalb man sich direkt an die offizielle Stelle des BSI gewandt habe.

Update 16.9.2020: Windeln.de hat die Sicherheitslücke am Mittwoch grundsätzlich bestätigt. Eine Unternehmenssprecherin wies allerdings daraufhin, dass nur jene Kunden betroffen seien, die sich zwischen dem 24. Mai und dem 23. Juni über die App oder Website eingeloggt hätten. Grund für das Problem sei ein Fehler bei Wartungsarbeiten, hieß es vom Unternehmen. Man prüfe aktuell noch, wie viele Kunden betroffen seien. "Wir bedauern diesen Vorgang sehr und bitten alle betroffenen Kundinnen und Kunden um Entschuldigung", erklärte Windeln.de-Chef Matthias Peuckert.

Windeln.de wurde vor zehn Jahren als Start-up gegründet und hat laut Geschäftsbericht von 2018  rund 200 Mitarbeiterinnen und Mitarbeiter. Das Münchner Unternehmen betreibt auch Websites speziell für den chinesischen, französischen und spanischen Markt. Im zweiten Quartal 2020 sei allein mit dem Geschäft im deutschsprachigen und chinesischen Raum ein Umsatz von 28,8 Millionen Euro erzielt worden.

Wertvolle Informationen für kriminelle Hacker

Die Sicherheitsexperten von "Safety Detectives" konnten nicht sagen, wie viele Kunden von der Schwachstelle betroffen seien. Häufig seien nur einzelne persönliche Informationen wie Name oder E-Mail-Adresse von Kunden in der Datenbank zu finden gewesen. In rund 1500 Fällen seien aber sämtliche privaten Kundendaten wie Name, Telefonnummer, Bezahlmethode, Produktinformation gebündelt abrufbar gewesen.

Ob die Schwachstelle tatsächlich von Kriminellen ausgenutzt wurde, ist nicht bekannt. Sorgen bereitet den IT-Sicherheitsexperten allerdings, dass Kriminelle gerade die Informationen über die Kinder nutzen könnten, um damit eigene Betrugsversuche zu unternehmen. Wenn sie beispielsweise das tatsächliche Geburtsdatum und den Namen eines Kindes kennen, können sie damit eigene Betrugs-Mails wesentlich vertrauenswürdiger aussehen lassen. So könnten sie an weitere private Informationen kommen oder Schadsoftware verbreiten.

Mehr lesen über
Die Wiedergabe wurde unterbrochen.