ADAC-Mitgliederdaten waren massenhaft frei im Netz abrufbar

München. ADAC-Mitglieder bekommen wohl demnächst unangenehme Post: Der Club teilt darin mit, dass Mitgliedsdaten frei im Internet standen.

Der ADAC hat am Montag nach einem Leck auf seiner Internetseite ein Formular vom Netz genommen. Über das Formular war es möglich, an Daten aller ADAC-Mitglieder zu gelangen. Entdeckt hat das riesige Datenleck der Mainzer Internetexperte Tobias Huch. Er sagte unserer Redaktion, er habe sich Informationen zu allen 19 Millionen Mitgliedern abgreifen können. Huch hat den ADAC über das Leck informiert.

Wer auf der Homepage des Automobilclubs das Antragsformular für eine ADAC-Kreditkarte aufrief, konnte seit Anfang Oktober Namen, Mitgliedsnummern, Eintrittsdatum und Art der Mitgliedschaft anderer Personen in der Adresszeile des Browsers sehen. Das bestätigte ein Sprecher des Automobilclubs. Adressen und Bankdaten wurden aber nicht angezeigt. Das erklärt auch Huch.

Zugriff auch auf weitere Daten?

Er sagt allerdings: „Wenn man die gesammelten Daten in ein anderes Formular des ADAC eingesetzt hätte, hätte nach meiner Meinung auch die Möglichkeit bestanden, sowohl Adresse, als auch Kontodaten abzufischen.“ Der ADAC prüfe das jetzt. Bevor die „Bild“ zuerst über den Fall berichtete, war der Club informiert worden.

Nachdem Huch darauf gestoßen war, dass Daten in der Adresszeile des Browsers sichtbar sind, hatte er ein kleines Programm geschrieben, das mit automatisch generierten Nummern Abfragen startete und die Informationen erhielt. Der Datenaustausch zwischen ADAC und Landesbank Berlin sei offenbar unverschlüsselt gelaufen. Die Landesbank sei Partner für neue Kreditkarten.

Huch: „Unprofessioneller geht es kaum“

Huch kritisiert: „Ich habe selten so einfach eine Kundendatenbank ausgelesen. 19 Millionen Kundendaten unverschlüsselt – unprofessioneller geht es kaum.“ Der ADAC habe ihm erklärt, man werde alle Kunden informieren. Die Pressestelle des Clubs erklärte unserer Zeitung dagegen, man werde betroffene Kunden informieren. Die Prüfung laufe, in welchem Umfang Kunden betroffen seien. „Wir gehen von Größenordnungen aus, die nicht dem entsprechen, was da kursiert“, so ein Sprecher zu unserer Redaktion. Der ADAC sei aber froh über den Hinweis.

Tobias Huch hatte auch 2008 öffentlich gemacht, dass 17 Millionen Daten von T-Mobile gestohlen und ihm angeboten worden waren. Damals war Huch als Internetunternehmer auch mit Altersverifikationssystemen für die Erotikbranche tätig. (law)