Nach dem Online-Buchhändler Libri hat nun auch der Deutsche Sparkassenverlag (DSV) mit einem Sicherheitsleck in dem von ihm betriebenen Webshop zu kämpfen. Wie der Blog Netzpolitik.org berichtet, war es durch einfache Manipulation und ohne Programmierkenntnisse möglich, sich die Rechnung anderer Kunden anzeigen zu lassen. Dazu musste im Quellcode der Bestellhistorie lediglich eine sechsstellige ID geändert werden.
Auf den Hinweis eines Lesers hin testete der Blog das beschriebene Verfahren und erhielt damit nach eigener Aussage Zugriff auf fast 350.000 Rechnungen des auf www.sparkasse.de eingebundenen Sparkassen-Shops. Sie enthielten unter anderem Name, Anschrift, Bestellinformationen, Liefer- und Rechnungsadresse, Einkaufszeit sowie die Zahlungsweise. Auch der Kontoinhaber, die Bankleitzahl, der Name der Bank und Teile der Kontonummer waren laut Netzpolitik.org einsehbar. Angeblich wäre es auch möglich gewesen, mithilfe eines Skripts alle Rechnungen automatisch herunterzuladen.
Netzpolitik.org hat den Deutschen Sparkassenverlag gestern über die Schwachstelle informiert. Inzwischen ist die Sicherheitslücke geschlossen. Nach Angaben des Shop-Betreibers konnte kein Missbrauch nachgewiesen werden.
In einer Mitteilung des DSV heißt es: „Die zwecks Aufdeckung einer Sicherheitslücke eingeschleuste Bestell-ID wurde mehrfach validiert und insbesondere gegen schadhafte Codes geprüft und entsprechend gefiltert. Allerdings berücksichtigte der Prüfvorgang nicht, ob die ausgewählte Bestell-ID zum angemeldeten Kundenprofil passte. Als Folge konnten Bestelldaten von fremden Kundenprofilen ausgelesen werden.“ Eine zusätzlich eingebaute Prüfung hinsichtlich der Zugehörigkeit der Bestellung vor dem Laden der Bestelldaten soll dies ab sofort verhindern.
Nach umfassenden Funktionstest des Kundenbereichs wurden laut DSV keine weiteren Unregelmäßigkeiten entdeckt. Eine Arbeitsgruppe untersuche nun das Shop-Frontend, bevor ein externer Dienstleister einen erneuten Sicherheits- und Penetrationstest durchführe.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…