Lilith WittmannNov 18, 2024

Am Wochenende hatte ich Zugang, zu den Kreditauskünften aller Menschen in Deutschland bei Arvato Infoscore. Das bedeutet ich konnte tausende Anfragen stellen und erhielt zu den Personen einen Kreditscore sowie Negativmerkmale der jeweiligen Personen (sowas wie Infos zu Mahnverfahren oder Privatinsolvenzen).

https://www.tagesschau.de/wirtschaft/digitales/datenleck-wirtschaftsauskunftei-100.html

Großes Datenleck bei Wirtschaftsauskunftei

Bei einer der wichtigsten Wirtschaftsauskunfteien Deutschlands hat es am Wochenende ein großes Datenleck gegeben. Sensible Bonitätsdaten von Millionen Verbraucherinnen und Verbrauchern waren frei zugänglich.

tagesschau.de
Show threadLilith WittmannNov 18, 2024
Das war möglich, weil das vom Unternehmen smava betriebene Portal "scorekompass" mir erlaubte, dort bei der Anmeldung von neuen Usern einfach einen Hinweis mitzuschicken, der den Account als verifiziert markierte. Damit konnte ich den Identifizierungsprozess per Ausweis/Bankkonto überspringen und bekam direkt Zugriff auf den Score der Person.
Peter SchmidtNov 19, 2024
Show threadLilith Wittmann
Wenn ich in zwei Jahren dreimal – dank absolut trivialer Sicherheitslücken – Zugang zu den Daten von verschiedenen Auskunfteien bekomme, dann kann man daraus eigentlich nur schließen, dass diese Unternehmen nicht geeignet dafür sind, solch sensible Daten zu verarbeiten.
Nov 18, 2024 at 5:09pmWeb
Show threadtsia 🔜 GPN24Nov 18, 2024

@Lilith den Führerschein würde man Leuten entziehen die mehrfach bewiesen haben dass sie nicht geeignet sind. Vielleicht wäre das mit dem Internet-Führerschein doch keine so schlechte Idee. Nur halt (auch) für Unternehmen.

Edit: bevor ich noch mehr Hass auf mich ziehe: es gibt die rechtliche Grundlage jemandem den Führerschein zu entziehen der nicht geeignet ist ein Auto zu führen. Natürlich passiert das viel zu wenig weil wir sind ja hier schließlich in Brumm-Brumm-Land.

Show threadBluMyndNov 18, 2024
@tsia_ @Lilith die Schuld liegt beim Auftraggeber. Der sollte ein Produkt testen etc. . Lilith sollte in sofern eigentlich für ihren Audit bezahlt werden. Der Programmierer von TEX schickt doch auch Checks, wenn jm. einen Bug findet oder ?
Show threadNeurotransmitterNov 18, 2024
@Lilith ...sie sind nicht nur "nicht geeignet", nein, es ist solchen Unternehmen auch völlig egal, was mit solchen Daten passiert, sonst wären auf Basis Deiner ersten Untersuchung bei einem Scoringunternehmen beim Mitbewerber ggf. mal Sicherheitsvorkehrungen getroffen worden...
Show threadlotharNov 18, 2024

@Lilith
Zum Glück wird beim Berechnen der Scores natürlich viel sorgfältiger vorgegangen. So ein Mangel an Qualitätssicherung und -kontrolle kann ja nur an einer einzelnen Stelle eines Unternehmens auftreten.
Oder?
Oder??

 

Show threadmafe en españaNov 18, 2024

@Lilith Schaun ma mal was die verschärfte Prodkthaftung für diese Unternehmen bedeutet.

Ich gebe auch schon einen Tipp ab: Insolvenz.

Show threadMomoNov 18, 2024

@Lilith
Ansich sind das jeweils für sich "Einzelfälle" die "zufällig" in der gleichen Branche auftreten... weil du da die Taschenlampe hin hälst. Ich befürchte ja, so sieht es generell aus, da wo sensible Daten erhoben und gespeichert werden.

Mein Gefühl sagt mir hier muss generell mal etwas getan werden, damit die Schlamperei aufhört und Verstoße empfindliche Folgen haben. Sonst ändert sich da nix.

Show threadSilent.TomNov 18, 2024
@Lilith ist das eine Fangfrage?😂
Show threadRyek DarkenerNov 18, 2024

@Lilith

Zumindest nicht die Personen, die für dieses Thema angeblich Verantwortung tragen.
Liegt wahrscheinlich am Fachräftemangel.

Show threadAndreas AlbrechtNov 18, 2024

@_RyekDarkener_ @Lilith

Je größer die Verantwortung der Stelle, desto größer der Fachkräftemangel.

Und viele tragen schwer an ihrer Verantwortung - und zeigen dann einen 10-Kilo-Schein...

;-)

Show threadKevin Karhan Nov 19, 2024

@Lilith IMHO sollte deren #Geschäftsmodell samt #Datensammlung kriminalisiert werden.

  • Besonders weil die bisherigen "Exploits" nichtmals wirkliche Angriffe fußen.

Dass jene Daten bzw. score-Werte dazu geeignet sind, Menschen zu erpressen oder gar ganze Unternehmen zu zerstören wird oft vergessen...

Show threadAndreas KNov 19, 2024
@Lilith Es gibt in Deutschland keine trivialen Sicherheitslücken. Standardpasswort wie im Handbuch dokumentiert? Klarer Fall von gut gesichert, du pöse, pöse Hackerin, ab in den tiefen Kerker mit dir.
Show threadAndreas SchneiderNov 20, 2024
@Lilith das sind ja vor allem Unternehmen, die eine Schublade voller Zertifikate haben, die ihnen vernünftige Prozesse und sichere Systeme attestieren. Nach so einem (wiederholten) Finding müssten diese Zertifikate alle sofort pulverisiert werden, mit allen daraus resultierenden Konsequenzen.
Show threadNorbertNov 21, 2024
@Lilith
Ich will an dieser Stelle einfach mal Danke sagen für dein Engagement! 👍