Security-Flop bei Viseca machte Kredit­karten­daten einsehbar

20. März 2023 um 10:37
  • security
  • datenschutz
  • viseca
image
Foto: Rupixen / Unsplash

Kreditkarten-Abrechnungen von Schweizer Unternehmen lagen offen im Netz. Schuld daran waren ungenügende Sicherheitsmassnahmen bei Viseca.

Während 18 Monaten waren Kreditkarten-Abrechnungen von "zehntausenden KMU-Kunden von Viseca" frei im Internet zugänglich und für alle einsehbar. Das berichtet die 'Republik' exklusiv. Die offen verfügbaren Abrechnungen enthielten Firmenadresse, Kartenkontonummer, Namen aller Karteninhaber, Kartenlimite und den Namen der Bank des Unternehmens. Ebenfalls erkennbar gewesen seien teilweise konkrete Transaktionen, heisst es im Bericht weiter.
Viseca ist ein Finanzdienstleister, der unter anderem die Kreditkarten aller Kantonalbanken, der Raiffeisen-Gruppe oder der Bank Cler verwaltet.

Zwei-Faktor-Authentifizierung mit der Telefonnummer

Entdeckt wurde der Breach vom Sicherheitsdienstleister Pentagrid, der in einem Blogpost detailliert beschreibt, wie er an die Daten gelangt ist. Demnach sind die Sicherheitsexperten zufällig auf die Lücke gestossen, als sie nach einem digitalen Spesenabrechnungstool suchten. Beim Login, um ein entsprechendes Tool von Viseca auszuprobieren, stellten sie fest, dass "die Zwei-Faktor-Authentifizierung aus der Eingabe der letzten 4 Ziffern der Telefonnummer bestand".
Die Spezialisten wurden misstrauisch und fanden heraus, dass durch das Verändern einer Zahl in der Webadresse Kreditkarten-Abrechnungen von Dritten einsehbar waren. Dies gelang den Experten zufolge auch dann, wenn man nicht im Testkonto des Viseca-Tools eingeloggt war.

Wahrscheinlich kein unbefugter Datenzugriff

Im Rahmen des Coordinated-Disclosure-Prozesses hat Pentagrid Viseca am 11. November 2022 über die Schwachstelle informiert. Knapp eine Woche später teilte Viseca mit, dass Gegenmassnahmen geplant seien: "Entfernen des Demokontos, Beheben der Schwachstellen und Prüfung, weshalb interne Sicherheitsüberprüfungen die Schwachstelle nicht früher entdeckt haben." Seit dem 25. November 2022 ist das Problem laut Viseca behoben.
Die 'Republik' zitiert Viseca-Sprecher Nicolas Kucera. Dieser sagte, dass es keine Hinweise darauf gibt, dass die Sicherheitslücke von Cyberkriminellen ausgenützt worden ist. Auch im Darkweb gibts keine Spur von angebotenen Datensätzen von Viseca-Kundinnen und -Kunden.
Inside-it.ch hat bei Raiffeisen, Bank Cler und 3 zufällig ausgewählten Kantonalbanken nachgefragt, ob ihre Firmenkunden betroffen waren und ob diese proaktiv informiert wurden. Deren Reaktion lesen Sie im Artikel "Daten im Web: Banken verlassen sich auf Viseca".

Loading

Mehr zum Thema

image

Strafverfolger schalten Geldwäschedienst für Ransomware ab

Internationale Behörden unter Beteiligung des Fedpols haben die Plattform "AudiA6" zerschlagen. Über diese wurden Millionen in Kryptowährungen gewaschen.

publiziert am 12.6.2026
image

Github verschärft npm-Sicherheitsstandards

Künftig werden Installationsskripte sowie bestimmte Abhängigkeiten standardmässig blockiert und nur noch nach expliziter Freigabe ausgeführt.

publiziert am 11.6.2026
image

Servicenow meldet Sicherheitsproblem

Der Softwarekonzern hat eine Sicherheitslücke in seiner Cloud-Plattform geschlossen. Zuvor war ein unautorisierter Zugriff auf Servicenow-Instanzen möglich gewesen.

publiziert am 10.6.2026
image

Anthropic lanciert Claude Fable 5 für alle Nutzer

Parallel dazu startet mit Claude Mythos 5 eine Variante mit erweiterten Cybersecurity-Fähigkeiten, die zunächst nur ausgewählten Organisationen zugänglich ist.

publiziert am 10.6.2026