Peek&Cloppenburg: Konfigurationsfehler führt zu Datenpanne
Bei dem Düsseldorfer Mode-Unternehmen Peek&Cloppenburg ermöglichte eine Fehlkonfiguration unbefugte Einsicht in Kundendaten.
(Bild: Black Jack/Shutterstock.com)
Am Donnerstag vergangener Woche kam es zu einer Datenpanne beim Modehändler Peek & Cloppenburg aus Düsseldorf. Im Onlineshop wurden offenbar Nutzern Daten zufälliger anderer Kunden angezeigt. Die Lücke konnte inzwischen geschlossen werden.
Fehlkonfiguration als Ursache
Focus zufolge bestätigte Peek & Cloppenburg, dass es am vergangenen Donnerstag, den 13. Oktober 2022 gegen 10:10 Uhr geplant zu einer manuellen Konfigurationsänderung am Onlineshop-System. Normalerweise hält das System unveränderliche und nicht schützenswerte Daten im Cache, etwa Produktbilder, Videos oder Detailseiten. Die Änderungen führten fälschlicherweise dazu, dass auch schützenswerte Daten zwischengespeichert wurden.
Infolge des Fehlers wurden Nutzern etwa Stammdaten oder Warenkörbe zufälliger anderer Kunden angezeigt. Zu diesen Daten gehörten pseudonymisierte Kreditkartendaten (die vier letzten Ziffern im Klartext) sowie das Ablaufdatum. Damit sei jedoch kein Missbrauch der Karte möglich. Allerdings gehören auch andere persönliche Daten wie Name, Anschrift, E-Mail-Adresse und gegebenenfalls Telefonnummer ebenfalls zu den klassischen Stammdaten eines Onlineshops. Betroffen waren nur Kunden, die im Zeitraum der Datenpanne im Webshop aktiv waren. Dabei seien maximal 340 Personen betroffen gewesen, denen fremde Kundendaten respektive alte Bestellungen angezeigt wurden.
Nachdem das Unternehmen das Problem erkannt hat, hat es den Onlineshop offline genommen, sodass ein weiterer unbefugter Datenzugriff nicht mehr möglich war. Nach der Behebung des Problems ging der Shop wieder online. Etwaige Änderungen von Daten im Nutzerkonto durch unbefugte Dritte in dem Zeitraum habe das Unternehmen rückgängig gemacht. Wie lange die Lücke genau bestand, lässt sich der schwammigen Formulierung nicht eindeutig entnehmen. Innerhalb einer Stunde sei die Fehlerbehebung erfolgt – dies könnte ab Bekanntwerden meinen, oder ab Konfigurationsänderung; vermutlich ist ersteres gemeint und der genaue Zeitraum, wie lange die Lücke offenstand, damit unklar.
Kunden, die am Donnerstag fremde Kundenprofile zu Gesicht bekommen haben, hätten sich bei der Hotline von Peek & Cloppenburg gemeldet. Bis zum Freitag hätten sie jedoch keine Information über die Panne und ihrer möglichen Folgen erhalten.
Es handelt sich bei der Lücke bei Peek & Cloppenburg um eine vergleichsweise kleine Datenpanne. Bei der Autovermietung Buchbinder waren etwa zehn Terabyte an Daten von drei Millionen Kunden im Jahr 2020 wochenlang frei zugänglich im Netz. Auch da war ein Konfigurationsfehler ursächlich für den Fehler. Dies führte überraschend zu keinem Bußgeld für den Datenschutzverstoß.
Die Presseabteilung von Peek und Cloppenburg in Hamburg bittet um den Hinweis, dass nicht das Hamburger Unternehmen davon betroffen war. Es handelt sich um zwei unterschiedliche Firmen.
(dmk)
