Daten­leck bei voelkner.de Onlineshop verriet Adressen und Bestel­lungen von Nutzern

8
Daten­leck bei voelkner.de - Onlineshop verriet Adressen und Bestel­lungen von Nutzern

Auf der Seite voelkner.de konnten bis zum Nach­mittag des 29. Januar 2021 die Bestel­lungen unzäh­liger Kunden einge­sehen werden – samt Namen und Adressen. Die Sicher­heits­lücke machte es möglich, Menschen auszuspionieren, in ihrem Namen Kommentare abzu­geben und bestellte Waren abzu­fangen. Die gleiche Lücke fanden wir auch bei den Onlineshops digitalo.de und smdv.de, die zum selben Unternehmen gehören wie voelkner.de. Der Seiten­betreiber schloss das Daten­leck, nachdem die Stiftung Warentest ihn informiert hatte.

Daten­klau leicht gemacht

Christian R.* aus Altenkirchen hat Chassis­buchsen für mehr als 2500 Euro bestellt, Klaus O.* aus Berlin seinen neuen DVD-Player per Kreditkarte bezahlt und Martin J.* aus Heilbronn eine sehr teure Taschen­lampe geordert, den Kauf dann aber wieder storniert. Bei Dieter V.* aus Oelde hat der DHL-Paketbote am 28. Januar um 13:14 Uhr die bestellte Drucker­patrone in den Brief­kasten geworfen. (*Name von der Redak­tion geändert.)

Das alles sollten wir, ehrlich gesagt, gar nicht wissen – es geht nämlich niemanden etwas an. Doch aufgrund einer recht primitiven Sicher­heits­lücke im Onlineshop voelkner.de waren wir bis zum 29. Januar 2021 in der Lage, Nutzer­daten zahlreicher Kunden einzusehen. Neben Bestel­lungen von Privatpersonen und Geschäfts­leuten konnten wir beispiels­weise auch sehen, was eine Bundes­behörde, eine Forschungs­einrichtung oder ein kommunaler Wasser­betrieb gekauft haben.

Drei Seiten mit der gleichen Lücke

Voelkner.de ist ein Onlineshop, der sich vor allem auf Technik spezialisiert hat. In Such­maschinen taucht er mitunter vor Saturn und Mediamarkt auf. „Mehr als 6 Millionen zufriedene Kunden“ hat Völkner laut eigenen Angaben. Der Anbieter gehört zum Nürn­berger Unternehmen Re-In Retail Interna­tional GmbH. Das betreibt auch den Spielwaren­versand smdv.de und den Elektronik­shop digitalo.de, bei denen wir auf die gleiche Sicher­heits­lücke stießen. Kurz nachdem wir den Betreiber der drei Seiten über das Daten­leck informiert hatten, war ein Zugriff auf die Nutzer­daten nicht mehr möglich.

Wir verraten an dieser Stelle bewusst nicht, wie die Sicher­heits­lücke funk­tionierte – nur so viel sei gesagt: Das Abgreifen der Daten erforderte keinerlei Hacker-Skills, sondern war kinder­leicht.

Name, Adresse, Zahlungs­mittel einsehbar

Auf Voelkner.de heißt es: „Wir nehmen Daten­schutz ernst. Der Schutz Ihrer Privatsphäre bei der Verarbeitung persönlicher Daten ist für uns ein wichtiges Anliegen.“

Unsere Recherchen zeichnen ein anderes Bild: Ohne große Mühe konnten wir Vor- und Nach­namen sowie die Wohn- oder Geschäfts­adressen von Völkner-Kunden einsehen – ebenso wie die von ihnen bestellten Waren und die verwendeten Zahlungs­mittel. Zusätzlich konnten wir in manchen Fällen Rechnungen und Liefer­scheine als PDF-Dateien herunter­laden.

Mitunter waren wir auch in der Lage, die Lieferungen detailliert zu verfolgen, da voelkner.de den Tracking-Code von DHL, GLS und anderen Paket­diensten verlinkte. Das hätte es sogar ermöglicht, den Zeitraum einer künftigen Lieferung in Erfahrung zu bringen, sich dann an die Liefer­adresse zu begeben und sich gegen­über dem Paketboten als Empfänger auszugeben.

Bestell­daten bis zurück ins Jahr 2008

Die einsehbaren Daten umfassten Bestel­lungen über lange Zeiträume: Wir konnten nach­voll­ziehen, was jemand eben gerade auf voelkner.de bestellt hat – wir konnten aber auch bis zum 1. Dezember 2020 zurück­gehen, um längst vergangene Order zu betrachten. Bei smvd.de fanden wir sogar detaillierte Bestell­über­sichten bis zurück ins Jahr 2008. Wir gehen deshalb davon aus, dass die Daten Tausender Kunden betroffen waren. Nutzer hätten leider nichts tun können, um ihre Daten zu schützen – das muss der Shop­betreiber leisten.

Manipulation möglich

Einige Einträge ließen sich sogar fingieren: Wir hätten im Namen der Besteller Produktrezensionen schreiben oder Probleme melden können, etwa „Artikel nicht erhalten“. Das wäre ohne Anmelde­daten des jeweiligen Kunden möglich gewesen, da der Zugang unge­schützt war.

Lieferungen abfangen, Kunden ausspionieren

Immerhin: Es war uns nicht möglich, Kunden­konten zu kapern, im Namen Fremder Bestel­lungen zu tätigen oder detaillierte Zahlungs­daten von Nutzern einzusehen. Dennoch ergeben sich aus einer solchen Sicher­heits­lücke mehrere Gefahren:

  • Bei noch nicht ausgelieferten Bestel­lungen könnten Kriminelle zum Beispiel zur Liefer­adresse fahren, sich als Empfänger ausgeben und so die Waren ergaunern.
  • Bestel­lungen könnten Einblicke in Lebens­umstände der Kunden gewähren. Wer etwa einen kleinen Tresor kauft, dürfte Wert­gegen­stände zu Hause aufbewahren. Wer laut Adresse in einer Villen­gegend wohnt und mehrere Über­wachungs­kameras bestellt, hat bislang möglicher­weise kein Sicher­heits­system installiert.
  • Unter Umständen könnten Kunden erpress­bar werden, wenn sie Käufe getätigt haben, von denen andere nichts erfahren sollen.

Anbieter reagierte schnell

Auf Anfrage der Stiftung Warentest bedankte sich Geschäfts­führer Heiko Voigt für den Hinweis auf die Sicher­heits­lücke und bestätigte, dass sie zeit­nah geschlossen wurde: „Wir haben umge­hend Maßnahmen einge­leitet, so dass die von Ihnen fest­gestellte, mögliche Einsichts­möglich­keit heute um 16.54 Uhr geschlossen wurde. (...) Unsere IT-Experten arbeiten bereits an der Identifizierung und Behebung der Fehl­funk­tion, damit so etwas in Zukunft nicht noch einmal geschehen kann.“

Auf Detailfragen, wie es zu der Daten­panne kam und wie lange die Nutzer­daten im Internet frei einsehbar waren, antwortete das Unternehmen zunächst nicht, versprach aber, die Stiftung Warentest über weitere Erkennt­nisse zu informieren. Kunden bietet es an, sich in Daten­schutz­fragen über folgende E-Mail-Adressen an die Anbieter zu wenden:
datenschutz@voelkner.de oder datenschutz@digitalo.de.

8

Mehr zum Thema

8 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Profilbild Stiftung_Warentest am 03.02.2021 um 13:42 Uhr
alle Kunden oder selbst betroffen?

@wolwelzus: Die Kundendatenbank an sich war nicht betroffen, es konnten aber Tausende Einzel-Bestellungen mit Namen und Postadressen der Kunden eingesehen werden. Davon waren wahrscheinlich Tausende Kunden betroffen.
Direkt lässt sich das nicht feststellen. Sie können sich aber an den Anbieter wenden unter datenschutz@voelkner.de oder anfrage@re-in.de
(Bu)

wolwelzus am 03.02.2021 um 10:42 Uhr
Datenleck bei Völkner usw.

War die gesamte Kundendatenbank betroffen oder nur Teile davon?
Kann man feststellen, ob das eigene Konto betroffen war? ggf. wie?

Profilbild Stiftung_Warentest am 01.02.2021 um 11:44 Uhr
Gastbestellung

@catmandoo: Die einsehbaren Daten ermöglichten uns keine Differenzierung zwischen Bestellungen von Gästen und registrierten Nutzern. (DB)

Profilbild Stiftung_Warentest am 01.02.2021 um 11:43 Uhr
Muss voelkner.de nicht informieren

@namevergessen: Nach unserer Auffassung muss der Anbieter betroffene Kunden informieren (Art. 34 DSGVO). Die DSGVO legt allerdings nicht explizit fest, in welchem Zeitraum nach der Entdeckung des Sicherheitsvorfalls die Information geschehen muss. (DB)

Profilbild Stiftung_Warentest am 01.02.2021 um 11:42 Uhr
Ist Conrad.de auch betroffen?

@yalgoo: Wir können nur Aussagen zu den drei im Text genannten Onlineshops treffen. (DB)