Eine nochmalige Überprüfung der geleakten Datenbanken hat ein weit größeres Ausmaß des Datenlecks ergeben. Die Endkundendaten aller Transaktionen der verbundenen Marktplätze sind einsehbar. Das sind Millionen Datensätze. Neben sämtlichen von den Marktplätzen übermittelten Daten sind teilweise auch Bankdaten von Endverbrauchern einsehbar. Vom Datenleck betroffen sind die Marktplätze und Plattformen: autoteile24, check24, Crodfox, Hood, idealo, innoCigs, Otto, Rakuten, kaufland (real), Tyre24 und interne Systeme der Modern Solution GmbH & Co KG. Der älteste Datensatz ist drei Jahre alt, er stammt vom 3. Juni 2018.

Es steht fest und ist belegt, dass Unbefugte Zugriff auf die Datenbank haben. Sie ist kopiert worden und befindet sich außerhalb der Modern Solution GmbH & Co KG

Zeitlicher Verlauf

Bisher war festgestellt, dass aus Händler-Host-Systemen die Endkundendaten einsehbar waren. Das ist zwar richtig, aber es sind weit mehr Daten einsehbar. Wie bereits berichtet ist die Stellungnahme zu dem Datenvorfall der Modern Solution falsch. Auch war die Wortfilter-Berichterstattung unvollständig. Nach nochmaliger Überprüfung der Daten ist festgestellt worden, dass ALLE jemals von den Plattformen im Rahmen der Anwendungen übermittelten Daten seit Juni 2018 lesbar sind.

Technische Einordnung

Die installierten MoSo-Anwendungen auf den Kundensystemen greifen auf die Datenbanken der Modern Solution Server zu, um sich Transaktionsdaten abzuholen. Die Händlersysteme haben einen Schreib-/Lese-Zugriff auf die mySQL-Datenbank. Alle Händler haben die Zugangsdaten, die im Klartext auslesbar waren. Dadurch konnte auch ohne die Modern-Solution-Anwendung und mit einem beliebigen SQL-Client auf den Server bzw. dieDatenbank zugegriffen werden. Mindestens ein Fall ist dokumentiert, dass die kompletten Datenbanken ›entwendet‹ wurden.

Passwort im Klartext der Modern Solution GmbH & Co KG

Passwort im Klartext der Modern Solution GmbH & Co KG

Nachdem die Transaktionsdaten von der Anwendung in die Händlersysteme übertragen worden sind, schreibt die Anwendung auf dem Händlersystem die Information in die Datenbank. Alt- oder Historiendaten sind nicht gelöscht worden. Der erste Datensatz in der Endkundendatenbank trägt das Datum: 2018-06-03 11:00:00

In der Endkundendatenbank finden sich die Endverbraucherdaten aller Händler in einer Tabelle. Das bedeutet, die Verbraucherdaten von Händler A stehen eine Zeile über den Daten von Händler B. Alle Daten sind geordnet nach Plattform. Es gibt also eine Datenbank ›crowdfox‹ in der alle Transaktionsdaten aller Händler zeitlich aufsteigend gespeichert sind.

Auswertung der Plattformen

Tyre24
– Erster: 2020-07-14 15:22:15
– Letzter: 2021-06-22 21:27:39
– Anzahl: 6.266 (+ 6.256 Bankdaten, also IBAN, BIC, Bankname, Kontakt)

Endverbraucherdaten tyre24.de alzura.de

Endverbraucherdaten tyre24.de alzura.de

 

Bankdaten tyre24.de alzura.de

Bankdaten tyre24.de alzura.de

Autoteile24
– Erster: 2020-11-03 12:15:10
– Letzter: 2021-03-16 08:40:10
– Anzahl: 568

Check24
– Erster: 2020-06-29 12:53:48
– Letzter: 2021-06-22 20:30:09
– Anzahl: 13.596

Crowdfox
– Erster: 2018-06-03 11:00:00
– Letzter: 2021-06-22 16:09:14
– Anzahl: 748

Hood
– Erster: 2019-02-23 20:00:20
– Letzter: 2021-06-22 22:03:02
– Anzahl: 5.670

Kundendaten Endverbraucherdaten hood.de

Kundendaten Endverbraucherdaten hood.de

Idealo
– Erster: 2019-08-05 12:15:27
– Letzter: 2021-06-22 21:33:11
– Anzahl: 3.937

innoCigs
– Erster: 2018-06-25 17:35:00
– Letzter: 2021-06-15 08:30:00
– Anzahl: 145.231

Mirakl
– Erster: 2021-05-10 19:38:51
– Letzter: 2021-06-22 23:48:54
– Anzahl: 1.499

Otto
– Erster: 2020-06-13 14:18:59
– Letzter: 2021-06-20 10:35:11
– Anzahl: 206.827

Kundendaten Endverbraucherdaten otto.de

Kundendaten Endverbraucherdaten otto.de

Rakuten
– Erster: 2019-11-27 20:15:00
– Letzter: 2020-10-16 08:13:58
– Anzahl: 2.841

Kaufland/Real
– Erster: 2018-08-20 20:18:53
– Letzter: 2021-06-16 19:55:35
– Anzahl: 314.909

Schnittstelle mit dem Namen “wawi”
– Erster: 2019-01-16 00:00:00
– Letzter: 2021-06-22 14:52:03
– Anzahl: 13.014

Reaktionen und rechtliche Empfehlung

Bisher hat lediglich kaufland.de (ex real.de) auf das Datenleck reagiert und seine Händler informiert. Ob noch andere Plattformen folgen, wird sich in den kommenden Tagen zeigen.

Kaufland Stellungnahme zum Datenleck

Kaufland Stellungnahme zum Datenleck

Der Datenschutzbeauftragte von JTL hat Wortfilter heute kontaktiert, um sich detailliert zu informieren. Rechtsanwalt Dr. Thomas von der Kölner Kanzlei Lexea hat in der Wortfilter Facebook-Gruppe eine Einschätzung gepostet.

»Bei dem beschriebenen Umfang des Datenlecks ist von einer Meldepflicht auszugehen. Denn wenn tatsächlich Endkundendaten in Hände Dritter gelangt sind, muss man zwingend melden. Die Frist ist maximal 72h, und die hat spätestens mit dem Zugang der Mail von Modern Solutions begonnen«, so Dr. Thomas Engels.

Die Modern Solution GmbH & Co KG informiert heute Kunden, dass sie eine Lösung gefunden haben wollen, und updaten Kundensysteme. Es gibt erste Hinweise, dass mit der ›neuen‹ Lösung nicht alle Herausforderungen behoben werden. Mangels fehlender Verträge der Auftragsdatenverarbeitung dürfte eine Nutzung der MoSo-Anwendung aus datenschutzrechtlicher Betrachtung fragwürdig sein.