Man glaubt nicht, dass es einem passieren kann, bis es dann wirklich mal passiert: Wer im Internet mit Kreditkarte bezahlt, muss jederzeit damit rechnen, dass die Daten missbraucht werden können. Wer dann auch noch in ausländischen Shops einkauft, die gefälschte Kleidung und Waren verkaufen, macht sich zum leichten Ziel für Kriminelle.

Denn wie ein aktueller Fall zeigt, kämpfen die meisten dieser Onlineshops mit dem gleichen Sicherheitsproblem: Jedes Mal, wenn ein Kunde oder eine Kundin einen Einkauf tätigte, wurden seine Kreditkartendaten in einer öffentlich zugänglichen Datenbank gespeichert.

Wie Techcrunch berichtet, trieb eine Datenbank mit Hunderttausenden unverschlüsselten Kreditkartennummern und Karteninhaberinformationen seit dem 6. Januar ihr Unwesen im World Wide Web. Als das Netzwerk am Dienstag offline ging, enthielt es eine Datenbank mit rund 330.000 Kreditkartennummern, Karteninhabernamen, vollständigen Rechnungsadressen und allen anderen Informationen, die Kriminelle benötigen, um betrügerische Transaktionen und Käufe mit der Kreditkarte durchführen zu können.

Jedes Mal, wenn Kund:innen neue Bestellungen aufgaben, stieg die Zahl der Daten in Echtzeit. Die Datenbank war öffentlich zugänglich – und das ganz ohne Passwort. Jeder, der die IP-Adresse der Datenbank kannte, konnte auf Unmengen unverschlüsselter Kreditkartendaten zugreifen.

spraygroundusa.com
ihuahebuy.com
igoodlinks.com
ibuysbuy.com
lichengshop.com
hzoushop.com
goldlyshop.com
haohangshop.com
twinklebubble.store
spendidbuy.com

Anurag Sen, ein Security-Researcher, fand die offengelegten Kreditkartendaten und bat Techcrunch um Hilfe, um die Eigentümer:innen der Karten zu kontaktieren. Doch leider war er nicht der Erste, der an die Informationen gelangte. Es gab noch jemanden, der die Daten fand. Dieser führte damit jedoch nichts Gutes im Schilde.

Jemand hatte eine Lösegeldforderung in der Datenbank hinterlassen: Derjenige versprach, die Kopie des gesamten Inhalts der Datenbank gegen eine kleine Summe in Kryptowährung zurückzugeben.

Eine Überprüfung der Daten durch Techcrunch zeigt, dass die meisten betroffenen Kreditkarteninhaber aus den USA stammen. Techcrunch hat außerdem mehrere Onlineshops identifiziert, deren Kundeninformationen durch die undichte Datenbank offengelegt wurden.

Viele der Geschäfte behaupten, von Hongkong aus zu operieren. Die Namen der Shops klingen bewusst ähnlich wie große Marken, darunter beispielsweise Sprayground. Ihre Websites weisen jedoch Rechtschreibfehler und einen auffälligen Mangel an Kundenbewertungen auf.

Wer für den Kreditkartenbetrug verantwortlich ist, ist unklar. Techcrunch konnte lediglich herausfinden, dass die Datenbank von einem Kunden des Unternehmens Tencent betrieben wurde. Das Portal wandte sich an Tencent. „Als wir von dem Vorfall erfuhren, haben wir sofort den Kunden kontaktiert, der die Datenbank betreibt, und sie wurde sofort abgeschaltet. Datenschutz und Sicherheit haben bei Tencent höchste Priorität. Wir werden weiterhin mit unseren Kund:innen zusammenarbeiten, um sicherzustellen, dass sie ihre Datenbanken auf sichere Weise pflegen“, sagte Carrie Fan, Global Communications Director bei Tencent.