Nicht alle betroffenen Geschäftskunden informiert

Sicherheitspanne bei Viseca: sensible Kreditkartendaten offen im Web

Uhr
von Maximilian Schenner und cka

Die Monatsabrechnungen von Zehntausenden Viseca-Geschäftskunden waren zwischen Juni 2021 und November 2022 im Internet abrufbar. Grund war eine Sicherheitslücke bei der Kreditkartenfirma. Viseca informierte nicht alle betroffenen Kunden.

(Source: videnko / Fotolia.com)
(Source: videnko / Fotolia.com)

Eine Sicherheitslücke hat Kreditkartenabrechnungen von Zehntausenden Geschäftskunden des Finanzdienstleisters Viseca frei zugänglich gemacht. Zwischen Juni 2021 und November 2022 waren die Daten im Internet abrufbar, wie Recherchen des Online-Magazins "Republik" zeigen.

Die Schweizer IT-Sicherheitsfirma Pentagrid sei zufällig auf eine entsprechende Server-Schwachstelle bei der Kreditkartenfirma gestossen. Durch einfaches Ändern der URL sei es damit möglich gewesen, auf die fremden Daten zuzugreifen. Der technische Aufwand für den Zugriff sei minimal gewesen, schreibt "Republik": "Das Einzige, was man brauchte, um an die Daten zu kommen, war ein funktionierender Browser." Ein Sprecher von Viseca bestätigte gegenüber dem Magazin das Bestehen der Schwachstelle.

Sensible Daten zugänglich

Die frei zugänglichen Abrechnungen enthielten laut "Republik" die Firmen­adresse, die Karten­konto­nummer, die Namen aller Karten­inhaber (geschäfts­führende Personen, aber auch leitende Angestellte), eine maskierte Form der Kreditkarten­nummer (also zum Beispiel 1111 11XX XXXX 1111), die Karten­limite, den Kartentyp sowie den Namen der Bank des Unternehmens - allesamt heikle Daten.

Betroffen seien potenziell zehntausende KMUs, die eine Kreditkarte von Viseca nutzen. "Es sind potenziell die Business­kunden betroffen", bestätigte auch der Sprecher von Viseca gegenüber "Republik". 

Erst im Februar 2023 war ein Fall publik geworden, bei dem Viseca eine Datenauskunft an die falsche Person verschickt hatte.

Schwachstelle nicht ausgenutzt

Laut Aussage von Viseca gibt es keine Hinweise auf Zugriffe durch Hacker. Die Firma liess zudem Expertinnen und Experten recherchieren, ob Datensätze der Kreditkartenkunden im Darknet gelandet seien. Die Experten seien nicht fündig geworden, schreibt "Republik" und bestätigt dies unter Berufung auf eigene Recherchen. Nach aktuellem Stand sei also davon auszugehen, dass die Sicherheitslücke nicht von unbefugten Personen ausgenutzt wurde.

Viseca ist im Besitz der grössten Schweizer Kantonal- und Retailbanken. Dazu gehören alle Kantonalbanken, die Raiffeisen-Gruppe, Entris Banking, Migros Bank, Bank Cler, Regionalbanken sowie Privat- und Handelsbanken.

Stichwort Banking: Am 19. März war bekannt geworden, dass die UBS ihre Rivalin Credit Suisse übernehmen muss, um diese vor dem Ruin zu bewahren. Wie gigantisch der Aufwand dieser Übernahme wird, zeigen Zahlen zu den IT-Abteilungen der beiden Banken - hier erfahren Sie mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
xJJkxfGX

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter