Angerufene Telefonnummern, Mahnungen, Erotik-Abos: Die Abrechnungen von Cablecom-Kunden lagen offen und für alle zugänglich im Internet.Kunden von UPC Cablecom konnten bis heute Nachmittag im Online-Kundencenter «My UPC» nicht nur ihre eigenen Rechnungen als PDF-Datei herunterladen, sondern mit einer einfachen Änderung im Browser auch die Rechnungen von tausenden anderen Cablecom-Kunden.
Dilettantischer Programmierfehler?
«Das ist eine grobe Schwachstelle, das sollte bei einem solch grossen Unternehmen wie der Cablecom nicht passieren», sagt der IT-Experte Stefan Friedli von der Sicherheitsfirma Scip in Zürich. «Durch das Leck kann jedermann in kurzer Zeit eine grosse Menge Dokumente zusammentragen und entsprechend missbrauchen.» Wie viele Kunden vom Sicherheitsleck betroffen sind, ist derzeit noch nicht bekannt.
Nachdem «10vor10» die UPC Cablecom informiert hat, wurde das Sicherheitsleck heute um 15.30 Uhr geschlossen. «Die UPC Cablecom hat als Sofortmassnahme die PDF-Generierung für Rechnungen in MyUPC deaktiviert und arbeitet jetzt daran das Problem längerfristig zu fixen», so Sprecher Marc Maurer. «Das bedeutet, dass das Sicherheitsleck in MyUPC nicht mehr besteht.»
Verletzung des Fernmeldegesetzes
Laut Hanspeter Thür, dem Eidgenössischen Datenschutz-Beauftragten, ist besonders heikel, dass auch gewählte Telefonnummern fast ohne Aufwand einsehbar waren. Damit macht sich UPC Cablecom allenfalls sogar strafbar. «Anbieter sind verpflichtet, die Verbindungsdaten nach dem letzten Stand der Technik zu sichern. Tun sie dies nicht, wäre dies ein Offizialdelikt», so Hanspeter Thür. Ob diesem Sicherheitsleck ein dummer Zufall oder eine grobe Fahrlässigkeit zugrunde liege, müsste eine allfällige Untersuchung zeigen.