Datenleck
20.03.2023, 14:04 Uhr
Viseca: Zehntausende Kreditkarten-Abrechnungen waren online verfügbar
Beim Schweizer Finanzdienstleister Viseca waren Abbuchungen von Firmenkunden online einsehbar, wie das Onlinemagazin «Republik» herausgefunden hat.
(Quelle: Viseca)
Was man beim Elektro-Onlinehändler bestellt oder bei einem Treffen mit Geschäftskunden in einem Café bezahlt, das möchte man nicht mit der breiten Öffentlichkeit teilen. Doch genau das ist einem Bericht des Onlinemagazins «Republik» zufolge mit Kreditkartendaten von zehntausenden KMU-Kunden in der Schweiz geschehen.
Der hiesige Finanzdienstleister Viseca verwaltet die Kreditkarten sämtlicher Kantonalbanken, der Raiffeisen-Gruppe, der Bank Cler (Zak mobile Bank) und diverser Regional-, Privat- oder Handelsbanken. Und in Visecas digitalem Kundenportal entdeckte die IT-Sicherheitsfirma Pentagrid eine Sicherheitslücke. Die IT-Sicherheitsfirma wandte sich zunächst an Viseca und später an die «Republik». Im Bericht heisst es: «Aktuelle Recherchen belegen, dass das Datenleck sämtliche KMU mit einer Viseca-Kreditkarte umfasst.»
Die KMU-Kreditkartendaten sollen während 18 Monaten (zwischen Juni 2021 und November 2022) im Internet zugänglich und für alle einsehbar gewesen sein – man benötigte dazu keine speziellen technischen Kenntnisse. Viseca bestätigte nach einer Konfrontation des Onlinemagazins, dass durch ein Datenleck die Kreditkarteninformationen aller KMU-Kundinnen und -Kunden offen im Internet lagen.
Das Leck wurde durch die Kreditkartenfirma inzwischen geschlossen und laut Finanzdienstleister hat man keine Hinweise auf Hacker.
Was war zu sehen und wer ist betroffen?
Es sollen alle KMU-Kunden betroffen sein, die beim Finanzdienstleister Viseca eine Kreditkarte haben – und nicht nur jene, die das Spesen-Management-Tool «eXpense» von Viseca verwendeten. Privatpersonen scheinen davon nicht betroffen zu sein.
Auf den gefundenen Kreditkartenabrechnungen war zu lesen, welche KMUs wann wo was einkauften und in welcher Cloud sie ihre Daten speichern. Nebst Firmenadresse, Kartenkontonummer, waren dem Bericht zufolge auch Namen der Karteninhaber, eine teilweise maskierte Kreditkartennummer, die Kartenlimite, und auch teilweise konkrete Transaktionen zu sehen.
Gefunden wurde das Leck übrigens nur zufällig. Die IT-Sicherheitsfirma Pentagrid benötigte ein Spesentool, um die Abrechnungen digital zu verwalten. Als ein Mitgründer von Pentagrid ein Benutzerkonto anlegte, wurde er misstrauisch.
Erst kürzlich war Viseca negativ in den Schlagzeilen. Eine Privatperson verlangte eine Datenauskunft beim Finanzdienstleister. Und erhielt versehentlich die Informationen einer anderen Person. Bei der betroffenen Person handelte es sich just um den IT-Rechtsanwalt Martin Steiger. Da der unberechtigte Auskunftsempfänger Steiger kannte, informierte er ihn, woraufhin Steiger den Fall öffentlich machte.
