15. Juli 2016 - Vermittlungsportal für Reinigungskräfte

Helpling.de mit gravierender Sicherheitslücke

Der Online-Marktplatz Helpling.de, der Reinigungskräfte vermittelt, erlaubte es angemeldeten Nutzern über einen längeren Zeitraum, auf fremde Kundenrechnungen zuzugreifen.

Sicherheitslücke bei Helpling Die Rechnungen von Reinigungskräften waren im Portal Helpling.de auch für Fremde einsehbar (Bild: AndreyPopov / iStock / Thinkstock)

Wie Netzpolitik.org berichtet, war es angemeldeten Nutzern der Vermittlungsplattform für Reinigungskräfte Helpling.de mehrere Monate lang möglich, Rechnungen anderer Anbieter abzurufen.

Zugriff ohne Hacker-Kenntnisse möglich

Besonders interessant an diesem Vorfall ist die Tatsache, dass keinerlei IT- oder Hacker-Fachwissen notwendig war, um an diese Dokumente zu gelangen. Vielmehr reichte es aus, eine eigene Rechnung als PDF-Datei anzeigen zu lassen und dann den in der URL angegebenen Zähler zu erhöhen beziehungsweise zu verringern.

Bei einer stichprobenartigen Überprüfung dieser Vorgehensweise erreichte Netzpolitik.org eine Trefferquote von rund 50 Prozent. Netzpolitik.org geht nach eigenen Recherchen davon aus, dass sich die Zahl der im Netz so abrufbaren Rechnungen „im mindestens niedrigen sechsstelligen Bereich“ bewegte.

Was verraten die Rechnungen?

Die Rechnungen enthalten:

  • Anschrift des Kunden, bei dem geputzt wird
  • Stockwerk und/oder Wohnung des Kunden
  • Kundennummer
  • Rechnungsnummer
  • teilweise Frequenz, in der geputzt wird (einmalig, wöchentlich, usw.)
  • Anzahl der Stunden und Kosten
  • Anschrift der Reinigungskraft
  • teilweise Steuer-ID der Reinigungskraft

Schwachstelle beseitigt

Nachdem die Entdecker dieser Sicherheitslücke die Betreiber des Portals informiert hatten, hat Helpling.de reagiert und die Schwachstelle beseitigt. In einer Stellungnahme, die die Datenlücke bestätigt, teilt der Betreiber mit, dass „Helpling kein Fall (sei) bekannt, in dem Kundendaten missbraucht wurden.“

fgo

Anzeige

Die Fachzeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps für eine wasserdichte Datenschutzorganisation im Unternehmen. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln