Daten-Leak bei Autovermietung Buchbinder

Die Autovermietung hat wochenlang 3 Millionen Kundendaten frei zugänglich im Netz stehen lassen

Im vermutlich größten Datenleck in Deutschland standen über lange Zeit persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder ungeschützt im Netz. Wegen eines Konfigurationsfehlers waren unter anderem Adressen, Telefonnummern und Mietdaten, aber auch Unfallberichte, E-Mails und Zugangsdaten so einfach zugänglich, dass man für den Zugriff nicht einmal "hacken" musste.

Buchbinder ist einer der größten deutschen Autovermieter und nach eigenen Angaben "Marktführer im Privatkundensegment PKW und LKW in Deutschland und Österreich". Die Unternehmensgruppe mit Hauptsitz in Regensburg beschäftigt mehr als 2500 Mitarbeiter und betreibt rund 165 Mietstationen in Europa. Die Kerngesellschaft der Gruppe, die Charterline Fuhrpark Service GmbH, machte 2018 laut Jahresabschluss einen Umsatz von knapp 350 Millionen Euro.

Ursache: Konfigurationsfehler im Backup-Server

Nach Erkenntnissen von "c't" und "Zeit" war ein Konfigurationsfehler in einem Backup-Server die Ursache. Theoretisch habe jeder Internet-Nutzer ohne Eingabe eines Passworts die Daten herunterladen können - man hätte dafür aber die exakte IP-Adresse kennen müssen oder das Netz nach ungesicherten Servern durchstöbern. Zunächst gab es keine Angaben dazu, ob die Sicherheitslücke von jemandem ausgenutzt worden sein könnte.

Angriffspotentiale für Cyberkriminelle

Die bei Buchbinder geleakten Daten sind für Cyber-Schurken enorm wertvoll. Es handelt sich um valide Informationen von Millionen. Im Unterschied zu Daten, die Nutzer etwa für die Teilnahme an einem Gewinnspiel angeben, müssen die bei Buchbinder hinterlegten Daten echt sein, damit es zum Abschluss eines gültigen Mietvertrags kommen kann.

Die erbeuteten Daten könnten sich auf verschiedene Arten missbrauchen lassen. Ein Angreifer könnte etwa gezielt nach Mietvorgängen von Unternehmenskunden suchen, um die persönlichen Kontaktdaten der involvierten Mitarbeiter herauszusuchen. Anschließend könnte er diese Daten nutzen, um im Namen des Mitarbeiters mit dessen Kollegen oder Chef zu kommunizieren, um sich Vertrauen zu erschleichen und sich weiter vorzuarbeiten.

Der Täter könnte zudem Phishing-Mails verschicken, die dazu auffordern, die bei der Autovermietung hinterlegten Kreditkartendaten zu aktualisieren. Er könnte vorgeben, dass es bei einer Abbuchung zu einem Problem gekommen ist und sich dabei sogar konkret auf eine Vermietung beziehen. Für die Empfänger wäre eine solche Mail kaum von einer echten zu unterscheiden.

Den größten Schaden hat Buchbinder

Die Kundendaten gehören zu den größten Schätzen eines Unternehmens, die Datenbank wurde über mehr als ein Jahrzehnt aufgebaut. Wer jetzt alles darauf Zugriff hatte, lässt sich nicht mehr nachvollziehen. Mitbewerber könnten unbezahlbare Einblicke in die Flotte des Unternehmens erhalten haben. Der Leak dürfte auch zu einem erheblichen Vertrauensverlust seitens der Kunden führen – ganz zu schweigen von etwaigen DSGVO-Bußgeldern und eventuellen Schadenersatzforderungen.

Zurück

Diesen Beitrag teilen
oben