Check24 と Verivox の信用証券会社はいずれも、失敗したデータ漏洩と重大なデータ漏洩を発見しました。基本的に、素人でも顧客の機密データを入手できる可能性があります。信用仲介の過程でかなりの量の個人データが漏洩するため、これは非常に深刻です。どちらのプロバイダーも、イメージに重大な損害を与えたり、法的影響を及ぼしたりするリスクがあります。 
現在では「セキュリティのギャップ」は解消されていますが、ほんの数か月前までは、最小限の労力で他人の名前、住所、収入、子供の数、雇用関係などの顧客の機密データにアクセスできました( Correctiv 経由)。潜在的に数百万人が影響を受ける。 Check24 と Verivox は両方とも脆弱性を確認し、修正されたと述べています。ただし、影響を受けるユーザーの帯域幅、アクセス時間、または詳細についてのより具体的な情報の提供は望んでいませんでした。
セキュリティ専門家は、「脆弱性」は数か月前から存在していると考えている。それに加えて、2 つのプラットフォームが IT セキュリティを真剣に考慮しているかどうかには疑問があります。私が意図的に「セキュリティ ギャップ」を引用符で囲んで書いているのはそのためです。この間違いは些細なものであると同時に、まったく恥ずかしいものだからです。同時に、この事件は、当局が大規模プラットフォーム上のデータセキュリティをほとんど管理していないことも示している。結局、被害を受けるのはお客様かもしれません。
実際に流出したのか、どのようなデータが流出したのかは不明
結局のところ、現時点では犯罪者がデータにアクセスしたという証拠はありません。それにもかかわらず、データは悪用されやすいものです。 Check24 と Verivox は、誰かが不正アクセスを行った形跡はないと述べています。また、顧客データのセキュリティが非常に重視されていることも指摘しています。しかし、「セキュリティ ホール」が何であるかを知るとすぐに、おそらくこれらの記述に疑問を抱くでしょう。
それは次のようになりました。Check24 と Verivox でパーソナライズされたローンを比較したい人は、データを転送した後、後でパーソナライズされた URL を受け取ります。そこで、個人向けのローンオファーをダウンロードできます。 Check24では、ブラウザによってバックグラウンドでパスワードもチェックされました。ただし、すべての顧客に同じパスワードが使用されました。ここからが本当のキッカーです。URL の最後には、それぞれの顧客に割り当てられた番号がありました。もちろん、趣味でアドレス行でこれを変更することもできます。まあ、ご想像のとおり…
単純に数字を数えたり減らしたりすると、他の顧客から融資の申し出が来ることになります。 Check24 に登録していなくても、すべてのローンオファーがダウンロードされ、潜在的な借り手の機密データを自由に閲覧できました。これは Verivox でもまったく同じように機能し、パスワードチェックがなくても機能しました。 Check24 では、この不具合に加えて 2 つ目のギャップがありましたが、これはより複雑で、WebSocket に関連していました。ここでは、攻撃者が特別なプログラムを使用して WebSocket への接続を確立し、事実上認証なしで新しいローンのオファーに申し込むことが可能でした。個人用の識別子の代わりに、プレースホルダーが最後に入力されるだけです。ここでは末尾にアスタリスクを付けるだけで十分です。
Check24 と Verivox: データ保護当局がこの事件を調査中
WebSocket メソッドを使用して、融資オファーの詳細が記載された PDF ファイルをダウンロードすることもできます。これには、氏名、性別、電話番号、電子メールアドレス、生年月日、国籍、雇用関係、現在の雇用主との勤続年数、現在の住居に住んでいる期間、純世帯収入、世帯の純収入、雇用主の有無などの機密情報が含まれていました。彼らは、人生、子供の数、所有する車の数を借りるかどうかにかかわらず、すでにローンを組んでいます。このようにして、申請したクレジットの金額、分割払いの金額、IBANを含むアカウント情報も表示されました。
Chaos Computer Club (CCC) はセキュリティの脆弱性について知らされ、プロバイダーと連絡を取りました。個人がそのようなギャップの悪用を報告することは、法的に難しい場合があります。許可なくすでに個人データを保護している可能性があるためです。逆に、Check24 と Verivox に対して法的結果が生じる可能性があります。事件を報告しなければならなかった責任あるデータ保護当局は現在、全容を調査している。
被害者に対して損害賠償を請求することも可能ですが、これについてはケースバイケースで判断する必要があります。一般に、これらはすべて強力な部分であり、悲しいことに、大企業であっても、残念なことに、顧客データのデータ保護とセキュリティを常に適切に保証しているわけではないことを強調しています。
