Autovermietung Buchbinder: 10 Terabyte persönliche Kundendaten frei zugänglich
Lieber Leser, liebe Leserin, Mimikama ist dein Kompass in der Informationsflut. Aber um den Kurs zu halten, brauchen wir dich. Jeder Beitrag, ob groß oder klein, bringt uns näher an eine Welt der verlässlichen Informationen. Stell dir vor, du könntest einen Unterschied machen, und das kannst du! Unterstütze uns jetzt via PayPal, Banküberweisung, Steady oder Patreon. Deine Hilfe lässt uns weiterhin Fakten liefern, auf die du zählen kannst. Mach mit uns den ersten Schritt in eine vertrauenswürdigere Informationszukunft. ❤️ Dank dir kann es sein.
Drei Millionen Kundendatensätze mit über fünf Millionen Dateien der Autovermietung Buchbinder waren für mehrere Wochen für jeden frei zugänglich
Datenleck bei Buchbinder – Das Wichtigste zu Beginn:
- Zehn Terabyte große Datenbank mit umfangreichen Datensätzen zurück bis ins Jahr 2003 frei zugänglich
- Datenbank inzwischen geschlossen
- Was tun, falls eigene Daten betroffen sein könnten
Die zehn Terabyte große Datenbank umfasst neben Adressen und Telefonnummern der Kunden, aber auch Unfallberichte und weitere sensible Daten wie Rechnungen, E-Mails und Verträge seit 2003. Namen, Adressen, Geburtsdaten, Informationen zu Arbeitgebern bei Geschäfts-Buchungen, Telefonnummern, Zahlungsinformationen, Bankverbindungen und E-Mail Adressen sind in der gut filterbaren Datenbank enthalten. Wenigstens waren Kreditkartendaten nicht öffentlich einzusehen. Rund 2,5 Millionen der betroffenen Kunden kommen aus Deutschland, 450.000 aus Österreich.
[mk_ad]
Sogar, wenn man selbst niemals ein Auto bei Buchbinder gemietet hat, könnte es vorkommen, dass seine persönlichen Daten zu finden sind. Nämlich dann, wenn man Unfallgegner, -opfer oder Zeuge eines Unfalls im Zusammenhang mit einem Buchbinder-Fahrzeug war. Betroffen sind scheinbar auch Kunden, die über Vermittlungsportale wie „Car del Mar“ oder „billiger-mietwagen.de“ ein Fahrzeug gemietet hat.
Buchbinder wurde bereits vorab auf das Datenleck hingewiesen
Laut Heise Online wurde das Datenleck durch gemeinsame Recherche des Computermagazins c’t und der Wochenzeitung DIE ZEIT entdeckt. Heise Online nennt den Vorfall eines der größten Datenlecks der Geschichte der Bundesrepublik.
Der Hinweis auf das Datenleck, so Heise, kam vom IT-Sicherheitsexperten Matthias Nehls, der angibt, zwei Mal das Unternehmen direkt auf die Datenpanne aufmerksam zu machen – wie es scheint, ohne Erfolg. Daraufhin beschloss er, sich an den bayerischen Landesdatenschutzbeauftragten sowie an Heise und die Zeit zu wenden.
Gravierender Verstoß gegen die DSGVO
Verantwortliche müssen nun beantworten, warum offenbar auf die gesamte MSSQL-Datenbank ohne Passwort zugegriffen werden konnte. Auch müssen Fragen bezüglich der DSGVO beantwortet werden, da Datensätze zum Teil bis 2003 zurück aufbewahrt und nicht nach zehn Jahren gelöscht wurden, was datenschutzrechtlich korrekt wäre. Es könnte sich um Verstöße gegen die DSGVO handeln, was ein hohes Bußgeld bedeuten dürfte.
[mk_ad]
Für diejenigen, die die Daten abgreifen konnten, dürfte es nicht mal strafrechtliche Konsequenzen bedeuten, da die Datenbank offen lag und es sich um keinen Hackerangriff handelte. Es war möglich, mit Tools wie z.B. einem Netzwerkscanner die Datenbanken auf fehlende Sicherheitsmaßnahmen zu prüfen und so Zugang zu erhalten.
Inzwischen ist die Datenbank geschlossen. Buchbinder gibt an, man habe „unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst“.
Gelangt man nun an einen Datensatz, wäre das strafrechtlich relevant.
Informationen bekannter Persönlichkeiten enthalten
Auch Personen, die in der Öffentlichkeit stehen, sind betroffen. Datensätze von Politikern, Botschaftsmitarbeitern und Datenschützern sind enthalten. Laut Heise Online ist ein Datensatz des Grünen-Chef Robert Habeck mit Privatadresse, Telefonnummer und E-Mail Adresse enthalten. Aber auch Politiker sämtlicher anderer Parteien, Mitarbeiter von Bundesministerien der Polizei und Bundeswehr, ausländischer Botschaften, sogar Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) findet man unter den Betroffenen.
Bin ich betroffen?
Will man herausfinden, ob die eigenen Daten betroffen sind, kann man eine Abfrage an den Anbieter senden. Heise Online hat hierfür eine Vorlage bereitgestellt, die man an Buchbinder übermitteln kann. Bis die betroffenen Datensätze bei Haveibeenpwned oder in der Datenbank des Hasso-Plattner-Instituts einlangen, wird es noch ein wenig dauern.
Sollten die eigenen Daten betroffen sein, wird dringend empfohlen, sämtliche Passwörter zu ändern, Buchungen in Zukunft genauer zu kontrollieren und gegebenenfalls sogar die Telefonnummer wechseln.
Immenser Schaden für Buchbinder
Mit über 160 Mietstationen gehört die Autovermietung Buchbinder zu den größten deutschen Autovermietern und bezeichnet sich selbst als Marktfüher im Privatkunden-Bereich PKW und LKW in Deutschland und Österreich. Seit 2017 ist Buchbinder Mitglied der französischen Europcar-Gruppe.
Mit den erbeuteten Daten stehen die Türen offen für Phishing-Attaken oder auch der Verkauf der Daten. Sofern die Daten noch aktuell sind, können diese für diverse Betrugsszenarien verwendet werden. Abgesehen davon kann der Vorfall für Buchbinder selbst einen enormen Schaden bedeuten. Einerseits leidet das Image darunter, andererseits lassen sich Erträge, Kaufpreise, Unfallhäufigkeit und auch Zahlen zu Verleihvorgängen und Verleihzeiten auslesen. Informationen, die für die gesamte Branche interessant sein können.
Quelle: t3n.de
Artikelbild: Shutterstock / Von Tobias Arhelger
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge (keine Faktenchecks) entstand durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)
Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum
INSERT_STEADY_CHECKOUT_HERE
Ihnen liegt es am Herzen, das Internet zu einem Ort der Wahrheit und Sicherheit zu machen? Fühlen Sie sich überwältigt von der Flut an Fehlinformationen? Mimikama steht für Vertrauen und Integrität im digitalen Raum. Gemeinsam können wir für ein transparentes und sicheres Netz sorgen. Schließen Sie sich uns an und unterstützen Sie Mimikama!. Werde auch Du ein jetzt ein Botschafter von Mimikama
Mimikama Workshops & Vorträge: Stark gegen Fake News!
Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.