Megadatenleck bei Autovermietung Buchbinder

Ein Datenleck bei der deutschen Autovermietung Buchbinder hat dazu geführt, dass die persönlichen Daten von drei Millionen Kunden - darunter 400.000 aus Österreich - frei zugänglich waren.

Neben Adressen und Telefonnummern, Unfallberichten und Schadensfotos waren auch Zahlungsinformationen und Rechnungen einsehbar. Zu den betroffenen Mietkunden zählen zahlreiche Botschaften und auch das Einsatzkommando Cobra Süd, berichteten „c’t“ und „Die Zeit“. Insgesamt zehn Terabyte sensibler Kundendaten standen auf einem offenen Server der Autovermietung Buchbinder wochenlang ungeschützt im Netz. Ursache des Lecks war laut dem Bericht von „c’t“ und der „Zeit“ ein Konfigurationsfehler bei einem Backup-Server.

Der Fehler führte dazu, dass Millionen Dateien der umfangreichen Firmendatenbank und -korrespondenz samt eingescannter Rechnungen, Verträge, Mails und Schadensbilder von Mietwagen bei Aufruf der IP-Adresse des Servers für jeden im Internet einsehbar waren.

Geburtsdaten, Führerscheine, Handynummern ...

Neben dem Namen der Mieter waren auch die der Fahrer, Adressen, Geburtsdaten, Führerscheinnummern und -ausstellungsdaten sichtbar. Bei viele Kunden sind zudem Mobilfunknummern und E-Mail-Adressen vermerkt. Und auch Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe waren abrufbar und durchsuchbar.

Kreditkartennummern fanden sich laut „c’t“ zwar nicht in der Datenbank, jedoch waren Zahlungsinformationen und Bankverbindungen auf PDF-Scans von Rechnungen zu lesen.

400.000 Kunden aus Österreich betroffen

Von den in der Datenbank gelisteten über drei Millionen Mietern der vergangenen 18 Jahre stammten rund 2,5 Millionen aus Deutschland, etwa 400.000 aus Österreich und die übrigen rund 114.000 aus Italien, der Slowakei und Ungarn.

Unter den betroffenen Kunden sind auch deutsche Politiker sowie Prominente aus Sport und Unterhaltung, berichtete „c’t“. In Österreich finden sich viele Botschaften wie etwa die Botschaft des Iran, von Saudi-Arabien, Katar, Thailand, Nigeria und Albanien mit Kontaktpersonen und genauen Kontaktdaten in der Datenbank.

Auch Daten von SPÖ, ÖVP, FPÖ und Cobra

Wie „c’t“ herausfand, hatte 2008 zudem ein Mitglied des Einsatzkommandos Cobra Süd einen Wagen gemietet. „Der Fahrer ist mit Privatadresse auffindbar“, so Hartmut Gieselmann, an den Recherchen beteiligter Journalist von „c’t“. „Auch die Daten zahlreicher Mitarbeiter von SPÖ, ÖVP und FPÖ, die Autos gemietet haben, waren zugänglich.“

Wer wissen will, ob seine Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann das via E-Mail bei Buchbinder erfragen. „C’t“ stellt dafür eine für private Zwecke kostenlos verwendbare Vorlage bereit.

Datenleck inzwischen geschlossen

Aufgefallen ist das Datenleck bei Routinescans der Firma Deutsche Gesellschaft für Cybersicherheit. Ein Mitarbeiter informierte Buchbinder per E-Mail, erhielt jedoch keine Antwort. Daher meldete er das Datenleck der zuständigen deutschen Behörde und wandte sich auch an die beiden Medien. Buchbinder hat das Datenleck nach eigenen Angaben inzwischen geschlossen.

Links: