Kundendaten offengelegtSicherheitslücke bei UPC Cablecom aufgedeckt
Bis am Nachmittag konnten UPC-Kunden über das Online-Kundencenter My UPC die Daten Dritter abrufen. Dafür genügte eine simple Änderung der Internet-Adresse.
UPC-Kunden konnten bis Dienstagnachmittag über den My-UPC-Dienst die Daten Dritter abrufen.
Die Sicherheitslücke war gravierend: UPC-Cablecom-Kunden, die sich über den My-UPC-Service einloggten, hatten bis heute Nachmittag Zugriff auf Telefondaten und Rechnungen anderer Cablecom-Kunden. Das berichtet die SRF-Sendung «10 vor 10» von heute Dienstagabend. Demnach war es möglich, nicht nur eigene UPC-Rechnungen als PDF-Dateien herunterzuladen, sondern auch die Daten Tausender anderer Kunden des Kabelnetzbetreibers. Nötig war dazu einzig eine Manipulation im Browser. In der URL für das PDF erschien nämlich die Rechnungsnummer als Zahl. Änderte man diese, erhielt man die Rechnung mit der entsprechenden Nummer.
Wie SRF weiter berichtet, habe das Unternehmen die Sicherheitslücke am Dienstag gegen 15.30 Uhr geschlossen, «nachdem ‹10 vor 10› die UPC Cablecom informiert hat». Danach war die PDF-Generierung für Rechnungen in My UPC für einige Stunden deaktiviert gewesen. Seit 19.30 Uhr funktioniere der Service wieder «einwandfrei», teilt Marc Maurer von UPC mit. Gemäss dem UPC-Pressesprecher bedeutet dies, dass das Sicherheitsleck in My UPC behoben sei.
Drohen neben Imageverlust auch rechtliche Konsequenzen?
Für den obersten Datenschützer Hanspeter Thür ist besonders heikel, dass auch gewählte Telefonnummern problemlos einsehbar waren. Damit mache sich UPC Cablecom allenfalls sogar strafbar, sagte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte gegenüber «10 vor 10». Anbieter seien verpflichtet, die Verbindungsdaten nach dem neusten Stand der Technik zu sichern. «Tun sie das nicht, wäre dies ein Offizialdelikt», so Thür.