ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Internet

Datenleck bei Bauhaus: Bestelldaten waren über Suchmaschinen auffindbar

Marc Stöckel
35 Kommentare
Datenleck bei Bauhaus: Bestelldaten waren über Suchmaschinen auffindbar
Bild: pixabay.com / Maikolaquino

Bestellungen von Inhabern einer Plus Card von Bauhaus ließen sich wohl einfach via Google oder Bing auffinden und abrufen. Praktisch jeder konnte so auf die Bestelldaten zugreifen. Das Datenleck ist zwar inzwischen geschlossen, wie viele Kunden letztendlich betroffen sind, ist aber noch unklar.

Datenleck betrifft Bauhaus-Kunden mit Plus Card

Im Onlineshop der Baumarktkette Bauhaus gab es offenbar ein Datenleck, durch das Bestellungen einiger gewerblicher Kunden frei zugänglich und obendrein sogar über Suchmaschinen wie Google oder Bing auffindbar waren. Betroffen waren davon wohl Besitzer einer Plus Card, wie Günter Born in seinem IT- und Windows-Blog berichtet.

Die Plus Card richtet sich an Gewerbetreibende und verspricht eine Rückvergütung in Höhe von 10 Prozent ab einer jährlichen Einkaufssumme von mindestens 5.000 Euro. Besitzer dieser Karte profitieren außerdem von „Sonderaktionen“ sowie der Möglichkeit, Waren auf Rechnung zu kaufen.

Gemeldet wurde das Datenleck wohl von einem Leser von Borns Blog, der anonym bleiben wollte. Dieser habe sich lediglich über die Plus Card informieren wollen, habe dabei jedoch auch detaillierte Informationen über Bestellungen gefunden, die fremde Besitzer der Karte aufgegeben hatten. Der Zugriff auf diese Daten gelang angeblich ohne jegliche Anmeldung auf der Bauhaus-Webseite.

Bauhaus-Bestellungen waren für jedermann abrufbar

Wie einem von Born in seinem Blogbeitrag geteilten Screenshot zu entnehmen ist, war in den URLs, mit denen sich die Daten der einzelnen Bestellungen abrufen ließen, immer auch die zugehörigen Bestellnummern enthalten. „Mit der URL, die für Plus-Card-Inhaber eigentlich nach einer Anmeldung die Bestellvorgänge auflisten soll, war ich auch ohne Plus Card, und folglich ohne Anmeldung, in der Lage, solche Bestelldaten einzusehen“, so Born.

Weiter erklärt Born, er habe im Rahmen seiner Stichproben durch Eingabe verschiedener Bestellnummern in der URL Bestelldaten fremder Personen bis zurück ins Jahr 2021 einsehen können. Dort enthalten waren Informationen wie Rechnungsadressen, Lieferadressen, Zahlungsarten, Zahlungsbeträge, die jeweiligen Bestellzeitpunkte sowie auch die im Rahmen der Bestellungen erworbenen Produkte.

Reaktion erfolgte wohl innerhalb eines Tages

Born behauptet, er habe das Datenleck am 30. Oktober an den zuständigen Landesdatenschutzbeauftragten von Baden-Württemberg sowie auch den Datenschutzbeauftragten von Bauhaus gemeldet. Einen Tag später sei der Fehler behoben worden. In Bezug auf den Cache von Microsofts Suchmaschine Bing musste die Baumarktkette aber wohl nochmal nachbessern – dort seien die Daten danach noch immer aufgetaucht. Auch dieses Problem sei aber einige Tage später augenscheinlich gelöst worden.

Wie lange das Datenleck tatsächlich bestand und wie viele Kunden davon betroffen sind, ist laut Born noch unklar. Besitzern einer Plus Card wird empfohlen, von ihrem Auskunftsrecht gemäß DSGVO Gebrauch zu machen und sich bei Bauhaus zu erkundigen, ob ihre Daten möglicherweise abgeflossen sind. Die dafür erforderlichen Kontaktdaten sind auf der Webseite des Unternehmens zu finden.

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz