Sicherheitspanne bei Viseca: sensible Kreditkartendaten offen im Web
Die Monatsabrechnungen von Zehntausenden Viseca-Geschäftskunden waren zwischen Juni 2021 und November 2022 im Internet abrufbar. Grund war eine Sicherheitslücke bei der Kreditkartenfirma. Viseca informierte nicht alle betroffenen Kunden.
Eine Sicherheitslücke hat Kreditkartenabrechnungen von Zehntausenden Geschäftskunden des Finanzdienstleisters Viseca frei zugänglich gemacht. Zwischen Juni 2021 und November 2022 waren die Daten im Internet abrufbar, wie Recherchen des Online-Magazins "Republik" zeigen.
Die Schweizer IT-Sicherheitsfirma Pentagrid sei zufällig auf eine entsprechende Server-Schwachstelle bei der Kreditkartenfirma gestossen. Durch einfaches Ändern der URL sei es damit möglich gewesen, auf die fremden Daten zuzugreifen. Der technische Aufwand für den Zugriff sei minimal gewesen, schreibt "Republik": "Das Einzige, was man brauchte, um an die Daten zu kommen, war ein funktionierender Browser." Ein Sprecher von Viseca bestätigte gegenüber dem Magazin das Bestehen der Schwachstelle.
Sensible Daten zugänglich
Die frei zugänglichen Abrechnungen enthielten laut "Republik" die Firmenadresse, die Kartenkontonummer, die Namen aller Karteninhaber (geschäftsführende Personen, aber auch leitende Angestellte), eine maskierte Form der Kreditkartennummer (also zum Beispiel 1111 11XX XXXX 1111), die Kartenlimite, den Kartentyp sowie den Namen der Bank des Unternehmens - allesamt heikle Daten.
Betroffen seien potenziell zehntausende KMUs, die eine Kreditkarte von Viseca nutzen. "Es sind potenziell die Businesskunden betroffen", bestätigte auch der Sprecher von Viseca gegenüber "Republik".
Erst im Februar 2023 war ein Fall publik geworden, bei dem Viseca eine Datenauskunft an die falsche Person verschickt hatte.
Schwachstelle nicht ausgenutzt
Laut Aussage von Viseca gibt es keine Hinweise auf Zugriffe durch Hacker. Die Firma liess zudem Expertinnen und Experten recherchieren, ob Datensätze der Kreditkartenkunden im Darknet gelandet seien. Die Experten seien nicht fündig geworden, schreibt "Republik" und bestätigt dies unter Berufung auf eigene Recherchen. Nach aktuellem Stand sei also davon auszugehen, dass die Sicherheitslücke nicht von unbefugten Personen ausgenutzt wurde.
Viseca ist im Besitz der grössten Schweizer Kantonal- und Retailbanken. Dazu gehören alle Kantonalbanken, die Raiffeisen-Gruppe, Entris Banking, Migros Bank, Bank Cler, Regionalbanken sowie Privat- und Handelsbanken.
Stichwort Banking: Am 19. März war bekannt geworden, dass die UBS ihre Rivalin Credit Suisse übernehmen muss, um diese vor dem Ruin zu bewahren. Wie gigantisch der Aufwand dieser Übernahme wird, zeigen Zahlen zu den IT-Abteilungen der beiden Banken - hier erfahren Sie mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Update: Weko büsst Swisscom mit 18 Millionen Franken
PPDS bringt Disney+, Netflix und Co. ins Hotelzimmer
Marktforscher erwartet Erholung des Marktes für grossformatige Displays
7Artisans lanciert Tilt-Shift-Objektiv für APS-C- und MFT-Kameras
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Übergross, auf Rollen oder mit Ambilight - die TV-Highlights aus Oerlikon
Sharp lanciert Dolby-Atmos-Soundbar im Kompaktformat
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Delegiertenversammlung des EIT.swiss genehmigt Bildungserlasse
