Auf der Seite voelkner.de konnten bis zum Nachmittag des 29. Januar 2021 die Bestellungen unzähliger Kunden eingesehen werden – samt Namen und Adressen. Die Sicherheitslücke machte es möglich, Menschen auszuspionieren, in ihrem Namen Kommentare abzugeben und bestellte Waren abzufangen. Die gleiche Lücke fanden wir auch bei den Onlineshops digitalo.de und smdv.de, die zum selben Unternehmen gehören wie voelkner.de. Der Seitenbetreiber schloss das Datenleck, nachdem die Stiftung Warentest ihn informiert hatte.
Datenklau leicht gemacht
Christian R.* aus Altenkirchen hat Chassisbuchsen für mehr als 2500 Euro bestellt, Klaus O.* aus Berlin seinen neuen DVD-Player per Kreditkarte bezahlt und Martin J.* aus Heilbronn eine sehr teure Taschenlampe geordert, den Kauf dann aber wieder storniert. Bei Dieter V.* aus Oelde hat der DHL-Paketbote am 28. Januar um 13:14 Uhr die bestellte Druckerpatrone in den Briefkasten geworfen. (*Name von der Redaktion geändert.)
Das alles sollten wir, ehrlich gesagt, gar nicht wissen – es geht nämlich niemanden etwas an. Doch aufgrund einer recht primitiven Sicherheitslücke im Onlineshop voelkner.de waren wir bis zum 29. Januar 2021 in der Lage, Nutzerdaten zahlreicher Kunden einzusehen. Neben Bestellungen von Privatpersonen und Geschäftsleuten konnten wir beispielsweise auch sehen, was eine Bundesbehörde, eine Forschungseinrichtung oder ein kommunaler Wasserbetrieb gekauft haben.
Die Bildergalerie oben zeigt Beispiele von Daten, die frei einsehbar waren. Wir haben Teile der Daten unkenntlich gemacht, um die betroffenen Kunden zu schützen. © Quelle: www.voelkner.de, Screenshot Stiftung Warentest 29.01.2021
Christian aus Altenkirchen hat Waren für mehr als 2500 Euro bestellt. © Quelle: www.voelkner.de, Screenshot Stiftung Warentest 29.01.2021
Die Lieferung dieser Bestellung ließ sich über den DHL-Trackingcode detailliert verfolgen. © Quelle: www.voelkner.de, Screenshot Stiftung Warentest 29.01.2021
Die Lieferung wurde am 28. Januar 2021 um 13:14 Uhr in den Briefkasten des Kunden deponiert. © Quelle: www.dhl.de, Screenshot Stiftung Warentest
„Das Paket wird voraussichtlich im Laufe des Tages zugestellt.“ Diese Information würde es Kriminellen erleichtern, das Paket abzufangen. © Quelle: www.gls-pakete.de, Screenshot Stiftung Warentest
Einige der einsehbaren Bestellungen gingen bis ins Jahr 2008 zurück. © Quelle: www.smdv.de, Screenshot Stiftung Warentest 29.01.2021
In manchen Fällen ließen sich Lieferscheine und Rechnungen als PDF-Dateien herunterladen. © Screenshot Stiftung Warentest
Drei Seiten mit der gleichen Lücke
Voelkner.de ist ein Onlineshop, der sich vor allem auf Technik spezialisiert hat. In Suchmaschinen taucht er mitunter vor Saturn und Mediamarkt auf. „Mehr als 6 Millionen zufriedene Kunden“ hat Völkner laut eigenen Angaben. Der Anbieter gehört zum Nürnberger Unternehmen Re-In Retail International GmbH. Das betreibt auch den Spielwarenversand smdv.de und den Elektronikshop digitalo.de, bei denen wir auf die gleiche Sicherheitslücke stießen. Kurz nachdem wir den Betreiber der drei Seiten über das Datenleck informiert hatten, war ein Zugriff auf die Nutzerdaten nicht mehr möglich.
Wir verraten an dieser Stelle bewusst nicht, wie die Sicherheitslücke funktionierte – nur so viel sei gesagt: Das Abgreifen der Daten erforderte keinerlei Hacker-Skills, sondern war kinderleicht.
Name, Adresse, Zahlungsmittel einsehbar
Auf Voelkner.de heißt es: „Wir nehmen Datenschutz ernst. Der Schutz Ihrer Privatsphäre bei der Verarbeitung persönlicher Daten ist für uns ein wichtiges Anliegen.“
Unsere Recherchen zeichnen ein anderes Bild: Ohne große Mühe konnten wir Vor- und Nachnamen sowie die Wohn- oder Geschäftsadressen von Völkner-Kunden einsehen – ebenso wie die von ihnen bestellten Waren und die verwendeten Zahlungsmittel. Zusätzlich konnten wir in manchen Fällen Rechnungen und Lieferscheine als PDF-Dateien herunterladen.
Mitunter waren wir auch in der Lage, die Lieferungen detailliert zu verfolgen, da voelkner.de den Tracking-Code von DHL, GLS und anderen Paketdiensten verlinkte. Das hätte es sogar ermöglicht, den Zeitraum einer künftigen Lieferung in Erfahrung zu bringen, sich dann an die Lieferadresse zu begeben und sich gegenüber dem Paketboten als Empfänger auszugeben.
Bestelldaten bis zurück ins Jahr 2008
Die einsehbaren Daten umfassten Bestellungen über lange Zeiträume: Wir konnten nachvollziehen, was jemand eben gerade auf voelkner.de bestellt hat – wir konnten aber auch bis zum 1. Dezember 2020 zurückgehen, um längst vergangene Order zu betrachten. Bei smvd.de fanden wir sogar detaillierte Bestellübersichten bis zurück ins Jahr 2008. Wir gehen deshalb davon aus, dass die Daten Tausender Kunden betroffen waren. Nutzer hätten leider nichts tun können, um ihre Daten zu schützen – das muss der Shopbetreiber leisten.
Manipulation möglich
Einige Einträge ließen sich sogar fingieren: Wir hätten im Namen der Besteller Produktrezensionen schreiben oder Probleme melden können, etwa „Artikel nicht erhalten“. Das wäre ohne Anmeldedaten des jeweiligen Kunden möglich gewesen, da der Zugang ungeschützt war.
Lieferungen abfangen, Kunden ausspionieren
Immerhin: Es war uns nicht möglich, Kundenkonten zu kapern, im Namen Fremder Bestellungen zu tätigen oder detaillierte Zahlungsdaten von Nutzern einzusehen. Dennoch ergeben sich aus einer solchen Sicherheitslücke mehrere Gefahren:
- Bei noch nicht ausgelieferten Bestellungen könnten Kriminelle zum Beispiel zur Lieferadresse fahren, sich als Empfänger ausgeben und so die Waren ergaunern.
- Bestellungen könnten Einblicke in Lebensumstände der Kunden gewähren. Wer etwa einen kleinen Tresor kauft, dürfte Wertgegenstände zu Hause aufbewahren. Wer laut Adresse in einer Villengegend wohnt und mehrere Überwachungskameras bestellt, hat bislang möglicherweise kein Sicherheitssystem installiert.
- Unter Umständen könnten Kunden erpressbar werden, wenn sie Käufe getätigt haben, von denen andere nichts erfahren sollen.
Anbieter reagierte schnell
Auf Anfrage der Stiftung Warentest bedankte sich Geschäftsführer Heiko Voigt für den Hinweis auf die Sicherheitslücke und bestätigte, dass sie zeitnah geschlossen wurde: „Wir haben umgehend Maßnahmen eingeleitet, so dass die von Ihnen festgestellte, mögliche Einsichtsmöglichkeit heute um 16.54 Uhr geschlossen wurde. (...) Unsere IT-Experten arbeiten bereits an der Identifizierung und Behebung der Fehlfunktion, damit so etwas in Zukunft nicht noch einmal geschehen kann.“
Auf Detailfragen, wie es zu der Datenpanne kam und wie lange die Nutzerdaten im Internet frei einsehbar waren, antwortete das Unternehmen zunächst nicht, versprach aber, die Stiftung Warentest über weitere Erkenntnisse zu informieren. Kunden bietet es an, sich in Datenschutzfragen über folgende E-Mail-Adressen an die Anbieter zu wenden:
datenschutz@voelkner.de oder datenschutz@digitalo.de.
-
Starker Schutz für lau
- Antiviren-Apps wehren Schadsoftware und Phishing ab. Unser Test von Sicherheits-Apps für Android zeigt: Viele Programme schützen gut. Ganz vorn liegt eine Gratis-App.
-
So funktioniert Zwei-Faktor-Schutz
- Passwörter sind für Angreifer oft leicht zu knacken. Stärkeren Schutz bietet die Zwei-Faktor-Authentifizierung. Wir zeigen, warum 2FA wichtig ist und wie das Ganze läuft.
-
Sicher Einkaufen im Netz
- Online-Shopping ist bequem. Hier lesen Sie, wie Sie sicher im Internet einkaufen und wo die Fallen lauern – auf Fakeseiten und im Bezahlprozess.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@wolwelzus: Die Kundendatenbank an sich war nicht betroffen, es konnten aber Tausende Einzel-Bestellungen mit Namen und Postadressen der Kunden eingesehen werden. Davon waren wahrscheinlich Tausende Kunden betroffen.
Direkt lässt sich das nicht feststellen. Sie können sich aber an den Anbieter wenden unter datenschutz@voelkner.de oder anfrage@re-in.de
(Bu)
War die gesamte Kundendatenbank betroffen oder nur Teile davon?
Kann man feststellen, ob das eigene Konto betroffen war? ggf. wie?
@catmandoo: Die einsehbaren Daten ermöglichten uns keine Differenzierung zwischen Bestellungen von Gästen und registrierten Nutzern. (DB)
@namevergessen: Nach unserer Auffassung muss der Anbieter betroffene Kunden informieren (Art. 34 DSGVO). Die DSGVO legt allerdings nicht explizit fest, in welchem Zeitraum nach der Entdeckung des Sicherheitsvorfalls die Information geschehen muss. (DB)
@yalgoo: Wir können nur Aussagen zu den drei im Text genannten Onlineshops treffen. (DB)