Der Online-Buchhändler Libri.de hat nur einen Tag, nachdem bekannt geworden war, dass tausende Kundenrechnungen für jedermann frei im Internet einsehbar waren, eine zweite Datenpanne einräumen müssen. Diesmal war das Content-Management-System für die Online-Shops der Libri-Partner betroffen.
Erneut hatte Netzpolitik.org den Medienhändler, der als Dienstleister für über 1000 Buchhändler tätig ist und deren Onlineshops betreibt, gestern Mittag über die Schwachstelle informiert. Einem Leser des Blogs war aufgefallen, dass er durch einfache Manipulation der aus einer mehrstellige Zahl bestehenden Benutzerkennung und dem meist gleichlautendem Standardpasswort Zugang zu verschiedenen Online-Shops erhielt. Dazu musste er lediglich die Benutzerkennzahl um 1 erhöhen. Schon bei den rund 500.000 frei einsehbaren Rechnungen hatte Libri.de eine unsichere, fortlaufende Nummerierung verwendet.
Netzpolitik.org überprüfte nach eigenen Angaben das beschriebene Verfahren an drei bis vier Shops. Auf diese Weise habe man Zugriff auf sämtliche Bestellstatistiken, die Bestellhistorie, die Beleghistorie und die Kundenliste mit E-Mail- und Postadressen erhalten. Zudem seien theoretisch Datenmanipulationen möglich gewesen. Neben Libri.de hat der Blog auch den Hamburger Landesdatenschutzbeauftragten informiert.
Nach dem Hinweis von Netzpolitik.org habe man den Online-Zugang zum betroffenen Redaktionssystem unverzüglich gesperrt, teilte der Medienhändler mit. Schließlich seien alle Passwörter mithilfe eines sicheren Passwort-Generators neu gesetzt worden. Zudem habe man schärfere Sicherheitsmaßnahmen für die Wahl des Passworts und den Log-in-Prozess eingeführt.
„Die neuerlichen Weiterungen des Falles dokumentieren ein erschreckendes Ausmaß an Unkenntnis und Nachlässigkeit im Umgang mit Daten und der Datensicherheit“, sagte der Hamburger Datenschutzbeauftragte, Johannes Caspar, gegenüber Netzpolitik.org. Dies gelte sowohl für die Vergabe von simplen Initialpasswörtern durch Libri.de als auch für die Storebetreiber selbst, die auf eine Änderung des Zugangspassworts verzichteten. „Dass sie dadurch auch die persönlichen Daten ihrer Kunden preisgeben, ist aus Datenschutzsicht nicht hinnehmbar.“
Die einsehbare Kundenliste eines von Libri.de betriebenen Online-Buchshops (Screenshot: Netzpolitik.org)
Neueste Kommentare
1 Kommentar zu Weiteres Datenleck bei Libri.de entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
to whom it may concern
Weil es doch Gründe für derartige Vorfälle gibt? aber keine Namen:
Es war einmal eine kleine, dumme Agentur, die hat in zwei Jahren mühevoller Vorarbeit mit ihrem Netzwerk einen komplexen Downloadshop für Hörbücher entwickelt ?
und geriet an einen Geschäftsführer eines grossen eShops, der einen ganz schlauen Rechtsanwalt in seinem ach so seriösen, grossen Unternehmen beauftragte, einen cleveren „Kooperationsvertrag“ zu formulieren?
mit geschickten Winkelzügen ist es dem schlauen, so gerissenen Geschäftsführer dann sehr schnell gelungen, für diese Entwicklungsarbeit keinen einzigen Cent zu bezahlen …
und dabei auch noch das Netzwerk der kleinen, dummen Agentur zu zerstören?
und er fragte genüsslich: „Wissen Sie eigentlich, WAS Sie da unterschrieben haben?“?
wer so skrupellos mit Geschäftspartnern umgeht, für Leistung nicht bezahlen will, der bekommt eben zum Schluss ein schlampiges, immer nur neu zusammengeflicktes System?
und gibt auch noch den geknebelten Dienstleistern die Schuld, wenn diese „Geschäftspraktiken“ auch Konsequenzen haben?
ich kann vor solchen Firmen und der Zusammenarbeit nur dringend warnen, wir hatten einen Schaden im mittleren, fünstelligen Bereich?
?tja ? kleine Sünden bestraft der liebe Gott sofort ?.grössere?.