Wie Correcitv berichtet, musste man nicht einmal registrierter Kunde bei den Anbietern sein, um die Informationen einsehen zu können. “Wer die Portale als Gast besucht und Kredite vergleichen will, erhält seine Angebote über eine URL, additionally eine Webadresse. Diese Adresse führte zum Obtain der personalisierten Darlehensangebote”, heißt es im Bericht.
Bei Check24 habe es zwar ein Passwort gegeben, das für Nutzer im Hintergrund abgefragt und durch den Browser übermittelt wurde. Allerdings habe dasselbe Passwort für alle Kunden funktioniert, heißt es weiter.
Demnach gab es bei Check24 sogar noch eine zweite Sicherheitslücke, für die allerdings mehr IT-Know-how nötig struggle. Diese hing mit einem sogenannten WebSocket zusammen. “Die Technologie ermöglicht eine Kommunikation des Webbrowsers in Echtzeit mit einem Server. Die Verbindung bleibt ständig offen, neue Kreditangebote für Kunden können so regelmäßig und sofort angezeigt werden, ohne dass eine neue Verbindung erstellt werden muss”, erklärt das Correctiv-Group.
