Am 8. September 2016 suchte ich den Namen eines Ansprechpartners erst bei DuckDuckGo und dann bei Google. Von den wenigen Treffern zum exakten Namen waren die meisten nicht zu gebrauchen, aber einer sah interessant aus: Es war der komplette Export (Dump) der SQL-Datenbank des Onlineshops sicher24.de. Der auf Sicherheitstechnik spezialisierte Shop verkauft Schlösser, Schließzylinder und ähnliches.
Um 14:34 schrieb ich eine E-Mail an die Supportadresse info@sicher24.de und bekam eine automatische Antwort:
Sehr geehrter Kunde,
Sehr geehrter Interessent, vielen Dank für Ihre Mail.
Wir bemühen uns um schnellstmögliche Bearbeitung Ihres Anliegens.
In dringenden Fällen möchten wir Sie jedoch bitten, uns während unserer Geschäftszeiten in der Zeit von Montag – Freitag von 09:00 – 16:00 Uhr telefonisch unter 0351/4775250 zu kontaktieren.
Mit freundlichen Grüßen
sicher24.de -Ihr Onlineshop für Sicherheitstechnik-
FELGNER Sicherheitstechnik GmbH & Co. KG
Heiligenbornstraße 17
D-01219 Dresden Telefon: 0351 47752 - 50
Fax :0351 47752 - 60
Danach passierte nichts. Am Freitag war die .sql-Datei noch online, erst am darauffolgenden Montag war sie verschwunden. Die Domain felgner.pl leitet seitdem auf eine andere Adresse um, und die URL der .sql-Datei liefert "Nicht gefunden".
Ich bekam keinerlei Antwort auf meine Hinweismail.
Daten
Laut Einträgen in der Datenbanktabelle whos_online und den letzten Bestellungen war der Datenexport vom 03.03.2016. Demnach dürfte die Kundendatenbank ein halbes Jahr öffentlich im Internet verfügbar gewesen sein.
Die Namen der Tabellen deuten darauf hin, daß die Shopsoftware Zen Cart eingesetzt wird.
Im Datenleck waren folgende Daten von 40.000 Kunden enthalten:
- Name
- Adresse
- Telefonnummer
- E-Mailadresse
- gehashtes Passwort
- Umsatzsteuernummer (bei Firmenkunden)
Weiterhin 39.000 Bestellungen mit Rechnungs- und Lieferadressen und den IP-Adressen der Kunden.
Sicher?
Auf der Homepage steht:
Geprüfte Sicherheit
Datenschutz
Das mit dem Datenschutz kann man getrost streichen. Und die "geprüfte Sicherheit" hilft auch niemandem, wenn der Administrator die Sicherungskopie der Datenbank öffentlich zugänglich macht.
Am 17.07.2015 twitterte @sicher24 noch:
Also im Urlaub aufpassen was und mit wem man es im Internet teilt. Damit die Rückkehr nicht zum Frust wird.
Leider haben sie ihren eigenen Ratschlag nicht beherzigt.