Ein klassischer Fehler führte zu einem Datenleck bei einem Gewinnspielportal. Betroffen sind 85.000 Teilnehmer.
Die Funke Mediengruppe gibt nicht nur diverse Fernseh- und Frauenmagazine wie Hörzu, TV Digital und Donna heraus, sondern betreibt auch ein Gewinnspielportal unter der Webadresse Funke.fun. Die dort eingegebenen Daten konnten jedoch von Dritten abgefragt werden. Insgesamt sind nach Angaben der Funke Mediengruppe 85.000 Personen betroffen.
Um an einem Gewinnspiel auf der Funke-Webseite teilzunehmen, muss meist ein Browserspiel absolviert und persönliche Daten in ein Formular eingetragen werden. Neben Name, Adresse und E-Mail-Adresse, die verpflichtend angegeben werden müssen, können auch Geburtsdatum und Telefonnummer in ein Formular eingetragen werden.
Neben der Aussicht auf einen möglichen Gewinn erhielten die Gewinnspielteilnehmenden zudem eine Prämie wie ein Probeabo einer Zeitschrift oder eine Kreditkarte mit Startguthaben. Diese konnte auf der Teilnahmebestätigungsseite des Gewinnspiels über den Dienstleister Sovendus bestellt werden. Die entsprechenden Felder für Name und Adresse waren bereits mit den beim Gewinnspiel angegebenen Daten vorausgefüllt.
Die URL der Bestätigungsseite endete jedoch mit einer ID, die einfach heruntergezählt werden konnte, beispielsweise von 4444001 auf 4444000. Anschließend wurden die Daten von anderen Gewinnspielteilnehmenden in den entsprechenden Prämienfeldern angezeigt. Derartige Lücken werden auch als Insecure Direct Object Reference (IDOR) bezeichnet.
Eine Abfrage hätte sich leicht per Skript automatisieren lassen, berichtet das Computermagazin C’t, das von einem Leser auf das Problem aufmerksam gemacht wurde. Ein solches hätte einfach die ID herunterzählen und den Datenblock am Ende der Webseite auslesen müssen – ein Problem der Funke-Webseite und nicht der Sovendus-Einbindung.
Auf diese Weise hätten nach einer Schätzung der C’t 1,45 Millionen Datensätze von der Webseite kopiert werden können. Das Computermagazin machte den Datenschutzbeauftragten der Funke Mediengruppe auf das Problem aufmerksam. Kurze Zeit später waren die URLs mit den IDs nicht mehr zu erreichen, das Problem wurde behoben.
Laut der Funke Mediengruppe waren jedoch nur 85.664 unterschiedliche Personen betroffen, da insbesondere bei einem Adventskalender-Gewinnspiel in der Vorweihnachtszeit etliche Personen an mehreren Gewinnspielen teilgenommen hätten. Funke hat den Vorfall bereits an die Berliner Landesdatenschutzbeauftragte gemeldet und will die Betroffenen informieren.
Das Problem, eine fortlaufende ID für Datensätze in URLs zu verwenden, ist ein Klassiker. Immer wieder lassen sich darüber Daten abgreifen.
Dasselbe Problem entdeckte beispielsweise die Sicherheitsfirma Modzero bei der Corona-Kontaktliste von Lunchgate, bei der Restaurantbesucher ihre Daten über einen QR-Code in einer Datenbank hinterlegen konnten, um im Falle einer möglichen Corona-Infektion kontaktierbar zu sein. Auch hier ließen sich die Daten von anderen Restaurantbesuchern über eine Anpassung der ID ausgeben. Das Problem wurde behoben.
