Kaufland: Händler konnten fremde Accounts einsehen – Marktplatz entschuldigt sich

Am Morgen des 5. Oktobers häuften sich ungläubige Äußerungen von Kaufland-Händlern. Bei Einloggen hatten sie Zugriff auf fremde Konten, konnten Daten einsehen und ändern, bekamen seltsame Buchungen angezeigt. Nach Bekanntwerden nahm Kaufland umgehend sein Seller Portal offline. Was war passiert? Im Rahmen eines Updates trat zwischen 22:36 Uhr am Abend des 4. Oktobers und 8:52 am Morgen des 5. Oktobers ein technischer Fehler auf. Gemäß Art. 34 der DSGVO hat sich Kaufland nun in einer Mitteilung, die OnlinehändlerNews vorliegt, an die Händler gewandt.

Ein externer Angriff könne ausgeschlossen werden, das bestätigte uns eine Kaufland-Sprecherin bereits am 5. Oktober. In der Mitteilung an die Händler konkretisiert der Marktplatz, wer betroffen ist, was eingesehen werden konnte und was die Händler nun tun sollten.

Accounts anderer Händler wurden zufällig angezeigt

Potenziell betroffen sei grundsätzlich jeder Händler, der im genannten Zeitraum im Seller Portal eingeloggt war. Das Problem äußerte sich dahingehend, dass anstelle der eigenen Angaben und Bestellungen zufällige Accountdaten anderer Händler angezeigt wurden, die gleichzeitig eingeloggt waren. Das noch größere Problem aber: „Eingeloggte Händler hatten vollen Zugriff auf die Funktionen des Seller Portals und somit potenziell auch auf sämtliche Funktionen bei den zufällig angezeigten Accounts der anderen Händler“, wie es in der Mitteilung heißt. Wer dann innerhalb verschiedener Funktionsbereiche wechselte, bekam jedes Mal wieder zufallsbedingt andere Accounts angezeigt. Auch wenn man also nicht systematisch fremde Accounts verändern konnte, ist es doch theoretisch möglich gewesen, Daten fremder Händler zu ändern, wie Kaufland einräumt.

Auszahlungen nicht betroffen

Auch Bankdaten habe man zwar einsehen können, aufgrund der 2-Faktor-Authentifizierung haben diese aber nicht geändert werden können, versichert der Marktplatz. Das Umleiten von Zahlungen auf andere Bankkonten sei „zu keinem Zeitpunkt“ möglich gewesen, aber die Veranlassung der Auszahlung auf das jeweilige Konto. „Vorgenommene Auszahlungen, die innerhalb des genannten Zeitraums stattgefunden haben, wurden daher gestoppt und werden nicht ausgeführt.“ Kaufland bittet die Händler daher, selbst vorgenommene Auszahlungen in diesem Zeitraum zu wiederholen.

Kaufland-Panne: Das sollten Händler nun tun

Kaufland habe, während man das Seller Portal kurzzeitig offline genommen hatte, die neue Release-Version vom System genommen und vorerst die vorherige Version wieder eingespielt. Die zuständige Aufsichtsbehörde und der externe Datenschutzbeauftragte seien bereits hinzugezogen worden. Derzeit dauere die Fehlersuche im zurückgenommenen Release noch an. Mit dem neuen Release verbundene Funktionen werden erst nach Behebung des Softwarefehlers eingespielt.

Wer sich im genannten Zeitraum im Seller Portal eingeloggt hat, solle in den kommenden Tagen eventuelle Kontobewegungen im Auge behalten und vorsorglich die hinterlegten Stammdaten überprüfen, bittet Kaufland. Das Unternehmen entschuldigt sich in der Mitteilung bei den Händlern, man nehme technische Fehler dieser Art sehr ernst. Alle Vorgänge im genannten Zeitraum habe man untersucht und man könne jede systemische Änderung nachvollziehen und einem Händlerkonto zuordnen. Sofern sich dabei Auffälligkeiten finden, werde Kaufland einzelne Händler gesondert kontaktieren.