Datenleck im Sparkassen-Shop entdeckt

Aufgrund einer mittlerweile geschlossenen Sicherheitslücke waren fast 350.000 Kundenrechnungen einsehbar. Dazu musste im Quellcode der Bestellhistorie lediglich eine sechsstellige ID geändert werden. Der Anbieter hat keinen Missbrauch festgestellt.

Nach dem Online-Buchhändler Libri hat nun auch der Deutsche Sparkassenverlag (DSV) mit einem Sicherheitsleck in dem von ihm betriebenen Webshop zu kämpfen. Wie der Blog Netzpolitik.org berichtet, war es durch einfache Manipulation und ohne Programmierkenntnisse möglich, sich die Rechnung anderer Kunden anzeigen zu lassen. Dazu musste im Quellcode der Bestellhistorie lediglich eine sechsstellige ID geändert werden.

Auf den Hinweis eines Lesers hin testete der Blog das beschriebene Verfahren und erhielt damit nach eigener Aussage Zugriff auf fast 350.000 Rechnungen des auf www.sparkasse.de eingebundenen Sparkassen-Shops. Sie enthielten unter anderem Name, Anschrift, Bestellinformationen, Liefer- und Rechnungsadresse, Einkaufszeit sowie die Zahlungsweise. Auch der Kontoinhaber, die Bankleitzahl, der Name der Bank und Teile der Kontonummer waren laut Netzpolitik.org einsehbar. Angeblich wäre es auch möglich gewesen, mithilfe eines Skripts alle Rechnungen automatisch herunterzuladen.

Netzpolitik.org hat den Deutschen Sparkassenverlag gestern über die Schwachstelle informiert. Inzwischen ist die Sicherheitslücke geschlossen. Nach Angaben des Shop-Betreibers konnte kein Missbrauch nachgewiesen werden.

In einer Mitteilung des DSV heißt es: „Die zwecks Aufdeckung einer Sicherheitslücke eingeschleuste Bestell-ID wurde mehrfach validiert und insbesondere gegen schadhafte Codes geprüft und entsprechend gefiltert. Allerdings berücksichtigte der Prüfvorgang nicht, ob die ausgewählte Bestell-ID zum angemeldeten Kundenprofil passte. Als Folge konnten Bestelldaten von fremden Kundenprofilen ausgelesen werden.“ Eine zusätzlich eingebaute Prüfung hinsichtlich der Zugehörigkeit der Bestellung vor dem Laden der Bestelldaten soll dies ab sofort verhindern.

Nach umfassenden Funktionstest des Kundenbereichs wurden laut DSV keine weiteren Unregelmäßigkeiten entdeckt. Eine Arbeitsgruppe untersuche nun das Shop-Frontend, bevor ein externer Dienstleister einen erneuten Sicherheits- und Penetrationstest durchführe.

Durch leichte Quellcodeänderungen waren fast 350.000 Rechnungen des Sparkassen-Shops einsehbar (Screenshot: Netzpolitik.org).
Durch leichte Quellcodeänderungen waren fast 350.000 Rechnungen des Sparkassen-Shops einsehbar (Screenshot: Netzpolitik.org).

Themenseiten: Big Data, Datendiebstahl, Datenschutz, sparkasse

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Datenleck im Sparkassen-Shop entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *