Windeln.de Datensatz ungeschützt im Internet - u.a. Telefonnummern

24
eingestellt am 16. Sep
Sehr ärgerlich, nach Lieferando (bzw. dem übernommenen Dienst Foodora) war jetzt nochmal ein fetter Datensatz von 500.000 Windeln.de Kunden im Internet frei zugänglich. Betroffen sind laut Spiegel.de - E-Mail-Adressen, Telefonnummern, IP-Adressen, Bestelldetails sowie Namen und Anschriften von Kunden

"...Die Sicherheitsforscher stellten demnach fest, dass eine Datenbank mit 6,4 Terabyte Daten offen im Netz stand. Jeder, der die Adresse des Servers kannte, konnte demnach darauf zugreifen. Ein Passwort sei nicht notwendig gewesen, berichten die IT-Experten in einem Blog-Beitrag (https://www.safetydetectives.com/blog/windeln-leak-report/)...."

Neben einer Emailadresse für Bestellungen, sollte man sich also langsam wohl auch eine 2. Rufnummer für Bestellungen zulegen, dank Dual-Sim wird das immer leichter, aber allen betroffenen bringt das erstmal nichts

spiegel.de/net…096
Zusätzliche Info
Shops: Erfahrungen
Beste Kommentare
Wieder so ein absolut dreister Fall, bei dem die Betreiber richtig einen auf den Sack bekommen müssten - tun sie aber nicht. Solange die Strafen für solche Vergehen, und hier war es Vorsatz, nicht in empfindliche Regionen vordringen wird das immer wieder passieren. Nach so einer Geschichte in dem Ausmaß müsste es eigentlich Strafen hageln, dass sie die Bude dicht machen können.
Bearbeitet von: "lakai" 16. Sep
Alles eine Frechheit. Bei Foodora wusste ich schon 1 Jahr vor der Meldung, dass die "gehackt" wurden. Spam auf eine einmalig verwendete Email Adresse.

Die speichern alles so billig wie möglich im Klartext oder vergraulte Mitarbeiter kopieren die Datenbanken und dann waren es "Hacker".


EDIT: Bei Windeln.de nicht anders;

"...Die Sicherheitsforscher stellten demnach fest, dass eine Datenbank mit 6,4 Terabyte Daten offen im Netz stand. Jeder, der die Adresse des Servers kannte, konnte demnach darauf zugreifen. Ein Passwort sei nicht notwendig gewesen, berichten die IT-Experten in einem Blog-Beitrag...."


Gleichzeitig möchten einige die Klarnamenpflicht im Netz: bundestag.de/res…pdf


Und das im Internet-Steinzeit-Land Deutschland
Bearbeitet von: "Ermittler" 16. Sep
24 Kommentare
Alles eine Frechheit. Bei Foodora wusste ich schon 1 Jahr vor der Meldung, dass die "gehackt" wurden. Spam auf eine einmalig verwendete Email Adresse.

Die speichern alles so billig wie möglich im Klartext oder vergraulte Mitarbeiter kopieren die Datenbanken und dann waren es "Hacker".


EDIT: Bei Windeln.de nicht anders;

"...Die Sicherheitsforscher stellten demnach fest, dass eine Datenbank mit 6,4 Terabyte Daten offen im Netz stand. Jeder, der die Adresse des Servers kannte, konnte demnach darauf zugreifen. Ein Passwort sei nicht notwendig gewesen, berichten die IT-Experten in einem Blog-Beitrag...."


Gleichzeitig möchten einige die Klarnamenpflicht im Netz: bundestag.de/res…pdf


Und das im Internet-Steinzeit-Land Deutschland
Bearbeitet von: "Ermittler" 16. Sep
Wieder so ein absolut dreister Fall, bei dem die Betreiber richtig einen auf den Sack bekommen müssten - tun sie aber nicht. Solange die Strafen für solche Vergehen, und hier war es Vorsatz, nicht in empfindliche Regionen vordringen wird das immer wieder passieren. Nach so einer Geschichte in dem Ausmaß müsste es eigentlich Strafen hageln, dass sie die Bude dicht machen können.
Bearbeitet von: "lakai" 16. Sep
weiß man welcher Zeitraum betroffen ist?
ellir16.09.2020 09:35

weiß man welcher Zeitraum betroffen ist?


Our team detected the breach on 13 June 2020 and estimates that the server vulnerability was exposed on the Internet on 11 June 2020.

Our team found that the server was completely unsecured and publicly exposed without a password – meaning that anyone in possession of the server’s IP address could access the entire database.

Thankfully, financial records such as payment details or credit card numbers were not leaked – however, a vast amount of personal information means hackers can target a particular individual with phishing, phone and malware scams.
Bearbeitet von: "Ermittler" 16. Sep
Ermittler16.09.2020 09:38

Our team detected the breach on 13 June 2020 and estimates that the …Our team detected the breach on 13 June 2020 and estimates that the server vulnerability was exposed on the Internet on 11 June 2020.Our team found that the server was completely unsecured and publicly exposed without a password – meaning that anyone in possession of the server’s IP address could access the entire database.Thankfully, financial records such as payment details or credit card numbers were not leaked – however, a vast amount of personal information means hackers can target a particular individual with phishing, phone and malware scams.


"We tried to reach out to Windeln.de, but nobody ever got back to us. We then contacted the German CERT, so they could inform the company about the data leak. A few days later, the server got secured."

Der Teil ist ja der interessanteste. Werden informiert, stellen sich aber tot. Glückwunsch.

BTW ist es eigtl egal wie lange das offen war, 1 Tag reicht. Der Datensatz wird eh schon angeboten - und das Internet vergisst ja bekanntlich nie.
Bearbeitet von: "lakai" 16. Sep
Hab da mal was gekauft und aufgrund der Meldung mal reingeschaut. Man kann im Self-Service weder seine E-Mail-Adresse ändern noch seinen Account löschen. Wenigstens kann man seinen Namen und seine Lieferadressen löschen.
lakai16.09.2020 09:42

"We tried to reach out to Windeln.de, but nobody ever got back to us. We …"We tried to reach out to Windeln.de, but nobody ever got back to us. We then contacted the German CERT, so they could inform the company about the data leak. A few days later, the server got secured."Der Teil ist ja der interessanteste. Werden informiert, stellen sich aber tot. Glückwunsch. BTW ist es eigtl egal wie lange das offen war, 1 Tag reicht. Der Datensatz wird eh schon angeboten - und das Internet vergisst ja bekanntlich nie.


Normales Vorgehen. Gleiches Prinzip bei MasterCard Priceless Specials. Meldungen von Nutzern wurden über Wochen ignoriert. Erst als die Presse aufmerksam wurde hat man sich hingestellt und so getan als hätte man sofort nach Bekanntwerden des Leaks reagiert - und zwar zum Tag der ersten Pressemeldungen.
Bearbeitet von: "hotice" 16. Sep
....das ist ja zum in die hose machen...;(
mir ein absolutes rätsel, wie man als kunde bei einem blöden versandhaus sein echtes geburtsdatum oder eine telefonnummer angeben kann........der händler muss lediglich wissen, dass man über 18 ist und anzurufen hat er mich schon gar nicht.

aber dann bei hacking gross aufschreien, wenn man selbst einfach fahrlässig war.......
loca1916.09.2020 10:22

.aber dann bei hacking gross aufschreien, wenn man selbst einfach ….aber dann bei hacking gross aufschreien, wenn man selbst einfach fahrlässig war.......


Ggf. müssen die korrekten Geburtsdaten angegeben werden wegen Rechnungskauf (da häufig automatisiert geprüft wird).

Ansonsten vollkommen richtig: Datenminimierung sollte jeder betreiben.

Dennoch erwarte ich als Kunde gemäß der Datenschutzverordnung: Information der Kunden und Massnahmen ergreifen, das solche Fälle nicht passieren (regelmäßige Überprüfung der Datenschutzfolgenabschätzung, neusten Stand der Technik verwenden, regelmäßige Pen Test)
HansMoser16.09.2020 09:59

Hab da mal was gekauft und aufgrund der Meldung mal reingeschaut. Man kann …Hab da mal was gekauft und aufgrund der Meldung mal reingeschaut. Man kann im Self-Service weder seine E-Mail-Adresse ändern noch seinen Account löschen. Wenigstens kann man seinen Namen und seine Lieferadressen löschen.


Bringt das denn überhaupt etwas im Nachhinein? Das Kind ist doch schon in den Brunnen gefallen...
Meine benutze Email Adresse ist sowieso schon irgendwo mal gehackt worden und wird täglich voll gespammt
BlackB12916.09.2020 10:41

Bringt das denn überhaupt etwas im Nachhinein? Das Kind ist doch schon in …Bringt das denn überhaupt etwas im Nachhinein? Das Kind ist doch schon in den Brunnen gefallen...


Nö, natürlich nicht.
Wer gibt denn bitte eine richtige Telefonnummer an?
BlackB12916.09.2020 10:41

Bringt das denn überhaupt etwas im Nachhinein? Das Kind ist doch schon in …Bringt das denn überhaupt etwas im Nachhinein? Das Kind ist doch schon in den Brunnen gefallen...


Natürlich bringt das nichts. Aber trotzdem möchte ich dem Unternehmen meine Daten nicht mehr anvertrauen,
HansMoser16.09.2020 09:59

Hab da mal was gekauft und aufgrund der Meldung mal reingeschaut. Man kann …Hab da mal was gekauft und aufgrund der Meldung mal reingeschaut. Man kann im Self-Service weder seine E-Mail-Adresse ändern noch seinen Account löschen. Wenigstens kann man seinen Namen und seine Lieferadressen löschen.


Dafür ist es jetzt auch zu spät
tourgott16.09.2020 10:53

Wer gibt denn bitte eine richtige Telefonnummer an?



Ja, alle sind genauso gebildet wie du. Auch die Großeltern und über 50- 60-jährigen.

Ich hoffe du kennst die Standardgröße der Milz, denn wer kennt die nicht?!
Ermittler16.09.2020 11:08

Ja, alle sind genauso gebildet wie du. Auch die Großeltern und über 50- 6 …Ja, alle sind genauso gebildet wie du. Auch die Großeltern und über 50- 60-jährigen.Ich hoffe du kennst die Standardgröße der Milz, denn wer kennt die nicht?!


Verstand hat nichts mit Bildung zu tun. Aber wie soll ein Unbewaffneter das schon verstehen?
tourgott16.09.2020 11:11

Verstand hat nichts mit Bildung zu tun. Aber wie soll ein Unbewaffneter …Verstand hat nichts mit Bildung zu tun. Aber wie soll ein Unbewaffneter das schon verstehen?



Auf jeden Fall hast du dir gerade selbst ins Knie geschossen. Glückwunsch . Die Opfer sind selbst schuld. Fall kann also geschlossen werden.
und jetzt hast du die Hosen voll`?
Ermittler16.09.2020 11:26

Auf jeden Fall hast du dir gerade selbst ins Knie geschossen. Glückwunsch …Auf jeden Fall hast du dir gerade selbst ins Knie geschossen. Glückwunsch . Die Opfer sind selbst schuld. Fall kann also geschlossen werden.


Offensichtlich bist du hier der einzige, der es nicht versteht. Glückwunsch.
tourgott16.09.2020 13:01

Offensichtlich bist du hier der einzige, der es nicht versteht. …Offensichtlich bist du hier der einzige, der es nicht versteht. Glückwunsch.


Du sitzt einfach auf einem hohen Ross. Wir sind halt technikaffin und kennen die vielen (!) Stolpersteine die es im Umgang mit dem Internet so gibt. Wenn du die Hand dafür ins Feuer legen kannst, dass beispielsweise deine Eltern einen solchen Fehler, wenn man es denn überhaupt Fehler nennen mag, nicht mal begehen könnten - nur zu. Feuer weiter. Aber irgendwann fällt womöglich auch mal jemand in deinem sozialen Umfeld im Zusammenhang mit dem Internet auf die Schnauze. Und dann möchte ich dich gerne sehen, wie du direkt und unverblümt "HAHA! Wie kann man nur so dämlich sein?!" rausposaunst. Wär nur konsequent.
lakai16.09.2020 09:42

"We tried to reach out to Windeln.de, but nobody ever got back to us. We …"We tried to reach out to Windeln.de, but nobody ever got back to us. We then contacted the German CERT, so they could inform the company about the data leak. A few days later, the server got secured."Der Teil ist ja der interessanteste. Werden informiert, stellen sich aber tot. Glückwunsch. BTW ist es eigtl egal wie lange das offen war, 1 Tag reicht. Der Datensatz wird eh schon angeboten - und das Internet vergisst ja bekanntlich nie.


Vllt hatte man ja Glück und ist erst DANACH Kunde geworden(:I
Ermittler16.09.2020 09:38

Our team detected the breach on 13 June 2020 and estimates that the …Our team detected the breach on 13 June 2020 and estimates that the server vulnerability was exposed on the Internet on 11 June 2020.Our team found that the server was completely unsecured and publicly exposed without a password – meaning that anyone in possession of the server’s IP address could access the entire database.Thankfully, financial records such as payment details or credit card numbers were not leaked – however, a vast amount of personal information means hackers can target a particular individual with phishing, phone and malware scams.


so geil das sie noch schreiben das keine Zahlungsdaten geleakt worden.... Die haben sie zum Glück gar nicht bei sich sondern sind beim Payment Provider der hoffentlich vernünftige Sicherheitstandards hat und man nicht auf seine Server kopieren darf, wenn man nicht zertifiziert ist. (Klarna, Paypal, Worldpay, Wirecard und wie die nicht alle heißen).
Dein Kommentar
Avatar
@
    Text