Die E.Conzept UG, Betreiber der Plattform Vetnotdienst.de, hat eine gravierende Sicherheitslücke in ihrer API offenbart. Eine ungesicherte Schnittstelle ermöglichte den unkontrollierten Zugriff auf personenbezogene Daten von Tierärzten und Tierarztpraxen. Trotz Hinweisen auf diesen schwerwiegenden Vorfall hat sich der Betreiber bislang nicht öffentlich geäußert.
Das Datenleck wurde durch die Tino24/7 GmbH festgestellt, die den Betreiber von Vetnotdienst.de bereits am 15. Februar 2025 unverzüglich über die Sicherheitslücke informiert hat. Dennoch blieb eine offizielle Reaktion oder eine Rückmeldung an uns aus bislang aus.
a) Welche Daten waren für jede und jeden online verfügbar?
Völlig ungesichert waren auf Vetnotdienst.de über eine unbestimmte Zeit hinweg folgende personenbezogene Daten frei im Internet abrufbar – und das völlig ungeschützt, ohne Passwort oder andere Sicherungsmaßnahmen:
Private und geschäftliche E-Mail-Adressen von Tierärzten
Verifizierte Handynummern
Adressen und Kontaktdaten von Tierarztpraxen
Informationen über Notdiensteinsätze
Mitgliedschaften in Notdienstgruppen
Diese sensiblen Informationen konnten ohne jegliche Authentifizierung eingesehen und potenziell missbraucht werden. Wie lange die API bereits in dieser Form online war und ob unautorisierte Dritte darauf zugegriffen haben, bleibt unklar, ist wegen der Offenheit der Daten aber zu vermuten.
b) Der Wert von bestätigten E-Mail-Adressen und Handynummern
Besonders kritisch ist die Tatsache, dass verifizierte E-Mail-Adressen und Handynummern öffentlich einsehbar waren. Solche Daten sind für Cyberkriminelle von immensem Wert, da sie gezielt für Phishing-Angriffe oder Identitätsdiebstahl genutzt werden können. Bestätigte Kontaktdaten ermöglichen:
Gezielte Betrugsversuche: Hacker können sich glaubwürdig als offizieller Dienstleister ausgeben.
Spam und Werbeangriffe: Ein massenhafter Missbrauch der Kontaktdaten für unerwünschte Werbung oder betrügerische Angebote ist denkbar.
Angriffe auf Accounts: Falls dieselben E-Mail-Adressen und Telefonnummern für andere Online-Dienste genutzt wurden, steigt das Risiko von Kontoübernahmen.
c) Betreiber schweigt – Nutzer bleiben im Unklaren
Trotz des Hinweises auf diese eklatante Datenschutzlücke hat sich die E.Conzept UG bislang nicht öffentlich geäußert. Es fehlen offizielle Informationen dazu, ob:
Die Lücke mittlerweile geschlossen wurde,
Ein Missbrauch der Daten festgestellt wurde,
Die betroffenen Nutzer informiert werden.
Nach der DSGVO ist der Betreiber verpflichtet, betroffene Nutzer über den Vorfall zu informieren. Doch bislang scheint Vetnotdienst.de diesem Anspruch nicht nachzukommen. Die Verantwortung liegt nun bei der E.Conzept UG, endlich Transparenz zu schaffen und die Datenschutzverletzung umfassend aufzuklären.
Tino24/7 setzt auf höchste Sicherheitsstandards
Unser Unternehmen, Tino24/7, verfolgt einen hohen Sicherheitsanspruch und setzt konsequent auf moderne Schutzmaßnahmen, um die Daten unserer Nutzer bestmöglich zu sichern. Alle unsere Systeme unterliegen strengen Sicherheitskontrollen, sodass unsere Nutzer sicher sein können, dass ihre Daten bei uns in guten Händen sind. Übrigens sind alle Server exklusiv in Deutschland gehostet.
Eine ungesicherte API, die über eine unbestimmte Zeit hinweg vertrauliche Daten offenlegt, stellt ein erhebliches Datenschutzrisiko dar. Es ist nicht nur Pflicht, sondern auch im Interesse der E.Conzept UG, diesen Vorfall transparent zu machen und die betroffenen Nutzer zu informieren. Sicherheit und Datenschutz müssen oberste Priorität haben – eine Reaktion des Unternehmens steht weiterhin aus.
Comments