Deutsche Kunden von Datenleck bei großem europäischen Händler betroffen

Berichte über Datenlecks gibt es immer wieder. Sicherheitsforscher berichten von einer Lücke, die viele persönliche Nutzerdaten offenlegte. Darunter fanden sich auch Daten vieler deutscher Nutzer.

Der Sicherheitsforscher Jeremiah Fowler und ein Team von Website Planet Research haben ein Datenleck beim Händler Office Depot gefunden. Das Leck zeigte persönliche Daten von fast einer Million Kunden, darunter vor allem Infos über deutsche Nutzer. Das schreibt Website Planet Research in einem aktuellen Bericht.

Website Planet ist ein Dienstleister für das Erstellen und Vermarkten von Websites. Das Unternehmen beschäftigt aber auch Sicherheitsforscher, die nach Lücken suchen. Laut einem Sprecher habe das Unternehmen am 3. März eine offene Elastic-Search-Datenbank gefunden. Elastic Search ist eine Suchmaschine und Analytics-Engine für alle möglichen Daten. Office Depot gilt als ein großer Anbieter für Bürobedarf und -dienstleistungen aus den USA. Der europäische Ableger heißt Office Depot Europe. Das Unternehmen bezeichnet sich auf seiner Website als "führender Experte für Lösungen am Arbeitsplatz."

Persönliche Daten für alle einsehbar

Die gefundene Datenbank soll laut Website Planet 974.050 Einträge haben, die auf Office Depot schließen ließen. Die Einträge waren als "Production" gekennzeichnet. Darunter waren unter anderem auch persönliche Infos wie Name, Telefonnummer, Adressen oder gehashte Passwörter.

Die Mail-Adressen trugen die Domäne @members.ebay, was darauf schließen lässt, dass die Einträge mit dem Ebay-Account von Office Depot verbunden sind. Auch vergangene Bestellungen von Kunden waren laut Website Planet einsehbar. Hashfunktionen werden gerne zur Sicherung von wichtigen Daten genutzt. Hier wird die vor allem die Form der Daten geändert, der Vorgang ist nicht rückgängig zu machen. Bei einer Verschlüsselung können Personen mit dem richtigen Schlüssel die Daten entschlüsseln.

"Die Überwachungs- und Dateiprotokolle legten viele interne Aufzeichnungen offen, die nicht öffentlich zugänglich hätten sein dürfen", schreibt Website Planet in seinem Bericht. Ein Großteil der Daten soll Nutzern in Deutschland zuordenbar gewesen sein. Mithilfe persönlicher Daten können Kriminelle beispielsweise Identitätsdiebstahl begehen. Was Nutzern dabei widerfahren kann, lesen Sie hier am Beispiel von einer Betroffenen.

Website Planet hat nach eigenen Angaben Office Depot über die Lücke informiert, woraufhin diese innerhalb weniger Stunden geschlossen wurde. Ein Sicherheitsmitarbeiter von Office Depot soll am 5. März geantwortet haben. Unter anderem sei Office Depot dabei, die genauen Auswirkungen des Ganzen zu ermitteln.

t-online hat Office Depot mehrmals um eine Stellungnahme gebeten. Ein Sprecher des Unternehmens hatte mitgeteilt, dass Office Depot eine Antwort geben werde. Diese blieb bis heute aus. Ob Unbekannte Zugriff auf die Daten hatten, ist unbekannt.

Stellungnahme von Office Depot

Mittlerweile hat Office Depot eine Stellungnahme zum Vorfall geliefert. Eine Sprecherin bestätigte, dass das Unternehmen über "eine mögliche Datenverletzung informiert" wurde. Office Depot soll noch am selben Tag Maßnahmen ergriffen haben. "Im Gegensatz zu dem, was berichtet wurde, enthielt die Verletzung eine begrenzte Anzahl von Kundennamen, Adressen und Telefonnummern", so die Sprecherin. "Wir möchten betonen, dass keine Passwörter oder andere persönliche Daten Teil der Datenverletzung waren."

Laut Office Depot sollen keine Daten heruntergeladen oder kopiert worden, sondern lediglich eingesehen worden sein. "Die Kunden wurden nicht informiert, da wir angemessene technische und organisatorische Schutzmaßnahmen implementiert haben und die Verletzung wahrscheinlich nicht zu einem hohen Risiko für die Rechte und Freiheiten der Kunden führt. Dennoch haben wir die federführende Aufsichtsbehörde gemäß Artikel 33 der DSGVO informiert.", so Office Depot.

Update 08.04.2021: Der Text wurde mit einer Stellungnahme von Office Depot ergänzt.