Schweizer Kreditkartendaten lagen offen im Netz

Gröberes Leck bei Viseca: Kreditkarten-Abrechnungen und Abbuchungen von Schweizer Unternehmen waren einsehbar.

20.03.2023
image
Symbolbild: Clay Banks on Unsplash von: on Unsplash
Während 18 Monaten waren Kreditkarten-Abrechnungen von «zehntausenden KMU-Kunden von Viseca» frei im Internet zugänglich und für alle einsehbar. Das berichtet die «Republik».
Die offen verfügbaren Abrechnungen enthielten Firmenadresse, Kartenkontonummer, Namen aller Karteninhaber, Kartenlimite und den Namen der Bank des Unternehmens. Ebenfalls erkennbar gewesen seien teilweise konkrete Transaktionen, heisst es im Bericht weiter.
Viseca ist verwaltet unter anderem die Kreditkarten aller Kantonalbanken, der Raiffeisen-Gruppe oder der Bank Cler.
Entdeckt wurde der Breach vom Sicherheitsdienstleister Pentagrid, der in einem Blogpost detailliert beschreibt, wie er an die Daten gelangt ist.

Einstieg per Telefonnummer

Demnach stiessen die Sicherheitsexperten zufällig auf die Lücke, als sie nach einem digitalen Spesenabrechnungstool suchten. Um ein entsprechendes Tool von Viseca auszuprobieren, stellten sie beim Login fest, dass «die Zweifaktor-Authentifizierung aus der Eingabe der letzten 4 Ziffern der Telefonnummer bestand».
Die Spezialisten wurden misstrauisch und fanden heraus, dass durch das Verändern einer Zahl in der Webadresse Kreditkarten-Abrechnungen von Dritten einsehbar waren.
Dies gelang den Experten zufolge auch dann, wenn man nicht im Testkonto des Viseca-Tools eingeloggt war.

Kaum unbefugter Datenzugriff

Im Rahmen des «Coordinated Disclosure-Prozesses» informierte Pentagrid Viseca am 11. November 2022 über die Schwachstelle. Knapp eine Woche später teilte Viseca mit, dass Gegenmassnahmen geplant seien: «Entfernen des Demokontos, Beheben der Schwachstellen und Prüfung, weshalb interne Sicherheitsüberprüfungen die Schwachstelle nicht früher entdeckt haben.»
Seit dem 25. November 2022 ist das Problem laut Viseca behoben.
Die «Republik» zitiert Viseca-Sprecher Nicolas Kucera: Es gebe keine Hinweise, dass die Sicherheitslücke von Cyberkriminellen ausgenützt wurde. Auch im Darkweb gibt es keine Spur von angebotenen Datensätzen von Viseca-Kundinnen und -Kunden.
Wir haben bei Raiffeisen, Bank Cler und drei zufällig ausgewählten Kantonalbanken nachgefragt, ob ihre Firmenkunden betroffen waren und ob diese proaktiv informiert wurden.
Update folgt.
  • Dieser Beitrag erschien zuerst auf unserer Partner-Plattform «Inside-IT» unter dem Titel «Security-Flop bei Viseca machte Kreditkartendaten einsehbar».

  • handel
  • e-commerce
Artikel teilen

Loading

Comment

Home Delivery
1 x pro Woche. Abonnieren Sie unseren Newsletter.

oder

Auch interessant

image

Dieser Online-Store ist besonders praktisch

Zu diesem Schluss kommt eine Experten-Community mit 6’500 Stimmen: Hugo Boss gewann den deutschen Shop Usability Award.

image

Denner: +1.1 Prozent. Fenaco: +1.2 Prozent.

Die ersten Signale aus der Lohnrunde im Detailhandel stellen klar: Es reicht bestenfalls für den Teuerungsausgleich. Und auch das nur knapp.

image

Was ist der direkteste Weg zur Würfelbouillon?

Eine britische App führt die Kunden durch den Supermarkt – entlang dem Einkaufszettel. Auf Wunsch auch nach dem Prinzip Kochbox.

image

Temu und Shein: 13 Verbände fordern den Bundesrat zum Handeln auf

Dabei soll die Regierung möglichst noch vor dem Weihnachtsgeschäft ein deutliches Signal aussenden.

image

Parkplätze vor dem Laden? Lieber nicht!

Neue Daten zur ewigen Parkplatz-Debatte: In Shopping-Zonen könnten parkierte Autos den Einkaufsbummel eher verderben.

image

Decathlon plant 6'000-Quadratmeter-Store in Spreitenbach

Im laufenden Jahr eröffnet(e) der Sportartikel-Händler sieben Standorte in der Schweiz – nächstes Jahr folgt nun die grösste Filiale.