Daten­leck bei voelkner.de Onlineshop verriet Adressen und Bestel­lungen von Nutzern

29.01.2021
Daten­leck bei voelkner.de - Onlineshop verriet Adressen und Bestel­lungen von Nutzern

Auf der Seite voelkner.de konnten bis zum Nach­mittag des 29. Januar 2021 die Bestel­lungen unzäh­liger Kunden einge­sehen werden – samt Namen und Adressen. Die Sicher­heits­lücke machte es möglich, Menschen auszuspionieren, in ihrem Namen Kommentare abzu­geben und bestellte Waren abzu­fangen. Die gleiche Lücke fanden wir auch bei den Onlineshops digitalo.de und smdv.de, die zum selben Unternehmen gehören wie voelkner.de. Der Seiten­betreiber schloss das Daten­leck, nachdem die Stiftung Warentest ihn informiert hatte.

Daten­klau leicht gemacht

Christian R.* aus Altenkirchen hat Chassis­buchsen für mehr als 2500 Euro bestellt, Klaus O.* aus Berlin seinen neuen DVD-Player per Kreditkarte bezahlt und Martin J.* aus Heilbronn eine sehr teure Taschen­lampe geordert, den Kauf dann aber wieder storniert. Bei Dieter V.* aus Oelde hat der DHL-Paketbote am 28. Januar um 13:14 Uhr die bestellte Drucker­patrone in den Brief­kasten geworfen. (*Name von der Redak­tion geändert.)

Das alles sollten wir, ehrlich gesagt, gar nicht wissen – es geht nämlich niemanden etwas an. Doch aufgrund einer recht primitiven Sicher­heits­lücke im Onlineshop voelkner.de waren wir bis zum 29. Januar 2021 in der Lage, Nutzer­daten zahlreicher Kunden einzusehen. Neben Bestel­lungen von Privatpersonen und Geschäfts­leuten konnten wir beispiels­weise auch sehen, was eine Bundes­behörde, eine Forschungs­einrichtung oder ein kommunaler Wasser­betrieb gekauft haben.

Drei Seiten mit der gleichen Lücke

Voelkner.de ist ein Onlineshop, der sich vor allem auf Technik spezialisiert hat. In Such­maschinen taucht er mitunter vor Saturn und Mediamarkt auf. „Mehr als 6 Millionen zufriedene Kunden“ hat Völkner laut eigenen Angaben. Der Anbieter gehört zum Nürn­berger Unternehmen Re-In Retail Interna­tional GmbH. Das betreibt auch den Spielwaren­versand smdv.de und den Elektronik­shop digitalo.de, bei denen wir auf die gleiche Sicher­heits­lücke stießen. Kurz nachdem wir den Betreiber der drei Seiten über das Daten­leck informiert hatten, war ein Zugriff auf die Nutzer­daten nicht mehr möglich.

Wir verraten an dieser Stelle bewusst nicht, wie die Sicher­heits­lücke funk­tionierte – nur so viel sei gesagt: Das Abgreifen der Daten erforderte keinerlei Hacker-Skills, sondern war kinder­leicht.

Name, Adresse, Zahlungs­mittel einsehbar

Auf Voelkner.de heißt es: „Wir nehmen Daten­schutz ernst. Der Schutz Ihrer Privatsphäre bei der Verarbeitung persönlicher Daten ist für uns ein wichtiges Anliegen.“

Unsere Recherchen zeichnen ein anderes Bild: Ohne große Mühe konnten wir Vor- und Nach­namen sowie die Wohn- oder Geschäfts­adressen von Völkner-Kunden einsehen – ebenso wie die von ihnen bestellten Waren und die verwendeten Zahlungs­mittel. Zusätzlich konnten wir in manchen Fällen Rechnungen und Liefer­scheine als PDF-Dateien herunter­laden.

Mitunter waren wir auch in der Lage, die Lieferungen detailliert zu verfolgen, da voelkner.de den Tracking-Code von DHL, GLS und anderen Paket­diensten verlinkte. Das hätte es sogar ermöglicht, den Zeitraum einer künftigen Lieferung in Erfahrung zu bringen, sich dann an die Liefer­adresse zu begeben und sich gegen­über dem Paketboten als Empfänger auszugeben.

Bestell­daten bis zurück ins Jahr 2008

Die einsehbaren Daten umfassten Bestel­lungen über lange Zeiträume: Wir konnten nach­voll­ziehen, was jemand eben gerade auf voelkner.de bestellt hat – wir konnten aber auch bis zum 1. Dezember 2020 zurück­gehen, um längst vergangene Order zu betrachten. Bei smvd.de fanden wir sogar detaillierte Bestell­über­sichten bis zurück ins Jahr 2008. Wir gehen deshalb davon aus, dass die Daten Tausender Kunden betroffen waren. Nutzer hätten leider nichts tun können, um ihre Daten zu schützen – das muss der Shop­betreiber leisten.

Manipulation möglich

Einige Einträge ließen sich sogar fingieren: Wir hätten im Namen der Besteller Produktrezensionen schreiben oder Probleme melden können, etwa „Artikel nicht erhalten“. Das wäre ohne Anmelde­daten des jeweiligen Kunden möglich gewesen, da der Zugang unge­schützt war.

Lieferungen abfangen, Kunden ausspionieren

Immerhin: Es war uns nicht möglich, Kunden­konten zu kapern, im Namen Fremder Bestel­lungen zu tätigen oder detaillierte Zahlungs­daten von Nutzern einzusehen. Dennoch ergeben sich aus einer solchen Sicher­heits­lücke mehrere Gefahren:

  • Bei noch nicht ausgelieferten Bestel­lungen könnten Kriminelle zum Beispiel zur Liefer­adresse fahren, sich als Empfänger ausgeben und so die Waren ergaunern.
  • Bestel­lungen könnten Einblicke in Lebens­umstände der Kunden gewähren. Wer etwa einen kleinen Tresor kauft, dürfte Wert­gegen­stände zu Hause aufbewahren. Wer laut Adresse in einer Villen­gegend wohnt und mehrere Über­wachungs­kameras bestellt, hat bislang möglicher­weise kein Sicher­heits­system installiert.
  • Unter Umständen könnten Kunden erpress­bar werden, wenn sie Käufe getätigt haben, von denen andere nichts erfahren sollen.

Anbieter reagierte schnell

Auf Anfrage der Stiftung Warentest bedankte sich Geschäfts­führer Heiko Voigt für den Hinweis auf die Sicher­heits­lücke und bestätigte, dass sie zeit­nah geschlossen wurde: „Wir haben umge­hend Maßnahmen einge­leitet, so dass die von Ihnen fest­gestellte, mögliche Einsichts­möglich­keit heute um 16.54 Uhr geschlossen wurde. (...) Unsere IT-Experten arbeiten bereits an der Identifizierung und Behebung der Fehl­funk­tion, damit so etwas in Zukunft nicht noch einmal geschehen kann.“

Auf Detailfragen, wie es zu der Daten­panne kam und wie lange die Nutzer­daten im Internet frei einsehbar waren, antwortete das Unternehmen zunächst nicht, versprach aber, die Stiftung Warentest über weitere Erkennt­nisse zu informieren. Kunden bietet es an, sich in Daten­schutz­fragen über folgende E-Mail-Adressen an die Anbieter zu wenden:
datenschutz@voelkner.de oder datenschutz@digitalo.de.

29.01.2021
  • Mehr zum Thema

    Online-Konten schützen mit 2FA So funk­tioniert Zwei-Faktor-Authentifizierung

    - Pass­wörter sind für Angreifer oft recht leicht zu knacken. Wer seine Online-Konten besser schützen will, setzt auf die Zwei-Faktor-Authentifizierung, kurz: 2FA. Dann...

    Hack bei Hotel­konzern Marriott Hunderte Millionen Kunden betroffen

    - Hacker haben Daten von bis zu 383 Millionen Kunden der Marriott-Tochter Starwood erbeutet. Zu Starwood gehören Hotelmarken wie Westin und Sheraton. Die Diebe griffen...

    Tracking Was ein einziger Tag am Handy über Surfer verrät

    - Einen Tag lang haben wir alles protokolliert, was unser Redak­teur Martin Gobbin online mit seinem Handy macht. Wir waren nicht die Einzigen: 128 Daten­sammler haben ihn...