Whitehats versuchten die Concardis GmbH auf ein erhebliches Datenleck hinzuweisen. Der Zahlungsdienstleister hat sie offenbar ignoriert.
Hacker hatten versucht, Concardis zu warnen
Vor wenigen Tagen erhielten wir die Mitteilung, dass Unbekannte durch Zufall auf ein erhebliches Datenleck bei der Eschborner Concardis GmbH aufmerksam wurden. Das Unternehmen hat rund 1.000 Mitarbeiter und gehört zu einem der größeren Zahlungsdienstleister in Deutschland. Händler können die Geräte des Unternehmens aufstellen, um darüber Kartenzahlungen abwickeln zu lassen. Entsprechend viele Daten fallen bei diesem Finanz-Dienstleister an. Im Datensatz findet man aber primär die Daten von Kunden unzähliger Online-Shops aller Art.
Nach eigenen Angaben habe man gleich „mehrfach versucht, Concardis zu kontaktieren, um sie auf bestimmte Sicherheitsprobleme aufmerksam zu machen, die es uns ermöglichten, diese Daten zu sammeln. Außerdem haben wir Concardis darauf aufmerksam gemacht, dass wir im Besitz dieser Daten sind. Leider hat sich Concardis nie bei uns gemeldet, so dass wir keine andere Möglichkeit haben, als diese Daten zu veröffentlichen.“
Die uns zugänglich gemachte sql-Datei mit einem Umfang von 1,12 GB an Daten enthält folgende sensible Informationen:
- Mitarbeiterdaten (Mitarbeiter von Concardis und Mitarbeiter von Händlern)
- Händlerdaten (einschließlich der Anmeldedaten von Drittanbietern)
- Kundendaten der Händler, alleine hier sind es über 4 Millionen Datensätze.
Whitehats verbreiteten Concardis-Daten an Journalisten
Die Unbekannten haben ihr Archiv bei Ionshare.io, Zippyshare, ufile.io, Mega, Filehosting.org und bei Lufi Disroot (upload.disroot.org) hochgeladen. Einige der Download-Links sind aber offenbar schon zwischenzeitlich abused worden, was zur Löschung des Archivs führte. Leider ist kein Kontakt mehr mit den Whitehats möglich, denn ihr Account bei ProtonMail funktioniert ebenfalls nicht mehr.
Nach einer vorsichtigen ersten Sichtung der umfangreichen Dateien müssen wir davon ausgehen, dass die Angaben der Hinweisgeber im Großen und Ganzen der Wahrheit entsprechen. Unter den 4 Millionen Kunden-Datensätzen sind auch Namen, Anschriften und teilweise E-Mail-Adressen und Handynummern vermerkt. Die Passwörter befinden sich bei Concardis in einem verschlüsselten Zustand, alle anderen Informationen nicht. In der Datenbank gab es zuvor eine Tabelle mit den Transaktionen. Diese hat man uns aber nicht übermittelt. Derzeit findet man lediglich Verweise von anderen Tabellen auf die fehlende Tabelle mit den Transaktionen.
Glücklicherweise keine Daten von EC- oder Kreditkarten
Kreditkarten-Details oder Bankdaten haben wir hingegen keine ausfindig machen können. Bei den Händlern stehen die URLs der Online-Shops und die entsprechenden Shop-Systeme dabei. Spannend auch, dass man die IP-Adressen den benutzten Geräten inklusive der verwendeten Auflösung aufgeführt hat.
Wir haben am gestrigen Mittwoch den Pressesprecher der Concardis GmbH angeschrieben, der bis jetzt nicht auf unsere Anfrage reagiert hat. Leider auch nicht, nachdem wir ihn heute Mittag an die Problematik erinnert haben.
Keine Antwort ist leider auch eine
Welche News-Portale außer der Tarnkappe den Hinweis noch erhalten haben, wissen wir nicht. Auch nicht, ob der gigantische Datensatz schon in den ersten einschlägigen Hacker-Foren zum Verkauf angeboten wird. Bei den vielen offenbar korrekten Informationen wäre für Cyberkriminelle eine derart große Sammlung sicher sehr viel Geld wert. Doch das hatten die Whitehats der Concardis Leaks hoffentlich nicht im Sinn.
Update: Jetzt ist auf der Startseite zu sehen: „Liebe Kunden, wir sind durch einen technischen Ausfall augenblicklich nicht per Mail zu erreichen. Wir arbeiten mit Hochdruck an der Behebung.“ Über die Hintergründe kann derzeit nur gerätselt werden.