Samsung.de präsentierte tagelang Kundendaten

Auf der Firmen-Site von Samsung in Deutschland waren tagelang die Daten von Großabnehmern und Firmenkunden einsehbar. Die Sicherheitslücke wurde erst heute Mittag geschlossen, nachdem zuvor über mehrere Tage hinweg Hinweise auf das Problem ignoriert wurden, so der Entdecker, ein Wiesbadener Informatiker.

„Ich hatte das betreffende Unternehmen bereits letzte Woche über den Sachverhalt informiert, in der Hoffnung, dass jenes aufgrund seiner Marktstellung schneller etwas bewirken kann“, sagte der Informant gegenüber ZDNet. Seinen Namen will er aus rechtlichen Gründen nicht genannt sehen. Er habe unter anderem auch eine Handelskette von deren offenen Daten in Kenntnis gesetzt. „Nach meinem jetzigen Kenntnisstand haben Verantwortliche dieses Unternehmens heute Vormittag mit Samsung Kontakt aufgenommen und es, wie erhofft, schnell geschafft, dass Samsung die personensensitiven Daten nun endlich nach vier Tagen vom Webserver genommen hat.“

Bestätigt wurden diese Angaben von dem T-Online-Mitarbeiter Dirk Lebzien, zuständig für das Portal der Telekom-Tochter. Er hat der den Vorgang per Screenshots festgehalten. Diese liegen ZDNet vor, die darauf ersichtlichen persönlichen Daten verbieten jedoch die Veröffentlichung.

„Am Freitag, den 22. November 2002 besuchte ich die Website www.Samsung.de, um Informationen zu dem von Samsung hergestellten Monitor Syncmaster 191T zu erhalten. Um zu den gewünschten Informationen zu gelangen, nutzte ich die auf der Samsung-Webseite angebotene Volltext-Such-Funktion im Monitorbereich“, schildert der Informatiker aus Wiesbaden seine Entdeckung. „Dabei wurden mehrere Ergebnis-Links ohne Überschrift ausgegeben, die ich nicht anklicken konnte. In der Hoffnung, mit Hilfe dieser Links endlich an die gewünschten Produktbeschreibungen zu gelangen, gab ich sie direkt im Browser ein und staunte nicht schlecht: Anstelle einer entsprechenden Monitorbeschreibung erblickte ich eine gescannte Rechnung, in deren Rechnungskopf eine bekannte Großhandelskette als Distributor ausgewiesen war. Zudem waren dieser Rechnung auch personensensitive Daten wie Personalien und Anschrift sowie das bei der betreffenden Großhandelskette erworbene Produkt und dessen Kaufpreis zu entnehmen. Etwa 300 Ergebnis-Links dieser Art gab die lokale Suchmaschine der Samsung-Website aus.“

Mehrere Bemühungen des Informatikers, einen der Verantwortlichen der in Schwalbach ansässigen Samsung Electronics GmbH telefonisch über die Sicherheitslücke zu informieren, verliefen seinen Angaben zufolge erfolglos. Er habe die Information erhalten, man wolle sich gegebenenfalls Mitte nächster Woche mit dem Problem beschäftigen.

ZDNet kann das Kommunikationsverhalten des Elektroriesens nur bestätigen. Anrufe zum Unternehmen wurden bereits am Empfang geblockt. Verantwortliche wollten das Problem noch nicht einmal zur Kenntnis nehmen.

Kontakt: Samsung, Tel.: 01805/121213 (günstigsten Tarif anzeigen)