Der Online-Buchhändler Libri.de hat nur einen Tag, nachdem bekannt geworden war, dass tausende Kundenrechnungen für jedermann frei im Internet einsehbar waren, eine zweite Datenpanne einräumen müssen. Diesmal war das Content-Management-System für die Online-Shops der Libri-Partner betroffen.
Erneut hatte Netzpolitik.org den Medienhändler, der als Dienstleister für über 1000 Buchhändler tätig ist und deren Onlineshops betreibt, gestern Mittag über die Schwachstelle informiert. Einem Leser des Blogs war aufgefallen, dass er durch einfache Manipulation der aus einer mehrstellige Zahl bestehenden Benutzerkennung und dem meist gleichlautendem Standardpasswort Zugang zu verschiedenen Online-Shops erhielt. Dazu musste er lediglich die Benutzerkennzahl um 1 erhöhen. Schon bei den rund 500.000 frei einsehbaren Rechnungen hatte Libri.de eine unsichere, fortlaufende Nummerierung verwendet.
Netzpolitik.org überprüfte nach eigenen Angaben das beschriebene Verfahren an drei bis vier Shops. Auf diese Weise habe man Zugriff auf sämtliche Bestellstatistiken, die Bestellhistorie, die Beleghistorie und die Kundenliste mit E-Mail- und Postadressen erhalten. Zudem seien theoretisch Datenmanipulationen möglich gewesen. Neben Libri.de hat der Blog auch den Hamburger Landesdatenschutzbeauftragten informiert.
Nach dem Hinweis von Netzpolitik.org habe man den Online-Zugang zum betroffenen Redaktionssystem unverzüglich gesperrt, teilte der Medienhändler mit. Schließlich seien alle Passwörter mithilfe eines sicheren Passwort-Generators neu gesetzt worden. Zudem habe man schärfere Sicherheitsmaßnahmen für die Wahl des Passworts und den Log-in-Prozess eingeführt.
„Die neuerlichen Weiterungen des Falles dokumentieren ein erschreckendes Ausmaß an Unkenntnis und Nachlässigkeit im Umgang mit Daten und der Datensicherheit“, sagte der Hamburger Datenschutzbeauftragte, Johannes Caspar, gegenüber Netzpolitik.org. Dies gelte sowohl für die Vergabe von simplen Initialpasswörtern durch Libri.de als auch für die Storebetreiber selbst, die auf eine Änderung des Zugangspassworts verzichteten. „Dass sie dadurch auch die persönlichen Daten ihrer Kunden preisgeben, ist aus Datenschutzsicht nicht hinnehmbar.“
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…