Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: BASE4U. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Grizzly

Administrator

  • »Grizzly« ist der Autor dieses Themas

Beiträge: 6 690

Aktivitätspunkte: 36 135

Wohnort: Lichtenau

Beruf: Anwendungsentwickler

  • Nachricht senden

1

Donnerstag, 29. Oktober 2009, 16:16

Lücke bei Libri [Update]

Zitat von »"heise.de«

Durch eine Lücke im System des Online-Buchhändlers Libri.de war es jedermann möglich, online unautorisiert mehrere tausend Rechnungen von Kunden einzusehen. Das berichtet netzpolitik.org. Zum Abruf genügte es, in der URL der online als PDF hinterlegten Rechnungen einfach die Rechnungsnummer zu variieren – die einfach durchnummeriert waren. Auf diese Weise konnten die Mitarbeiter von netzpolitik.org per Skript in einer halben Stunde rund 20.000 Rechnungen herunterladen.

Die Rechnungen enthielten die Kundenadresse, das Kaufdatum, die gekauften Produkte, Preis, Rechnungsnummer, Kundennummer und die Bezahlweise (jedoch keine Bankdaten) sowie den Partner vor Ort. Libri arbeitet nämlich auch als Dienstleister für viele stationäre Buchhändler und andere Online-Shops. Durch das Herunterladen und Auswerten der Rechnungen ließe sich laut Bericht nachvollziehen, wer welche Bestellungen in der letzten 16 Monaten über Libri getätigt hat.

Das Brisante an dem Vorfall: Libri.de wurde vom TÜV-Süd AG mit dem Safer-Shopping-Zertifikat ausgezeichnet und wirbt auf seiner Seite auch prominent mit dem TÜV-Siegel. Mittlerweile ist die Lücke geschlossen. Laut Libri sind "Kundendaten nach Analyse der Logfiles nicht in den Umlauf gekommen."

Markus Beckedahl von netzpolitik.org wirft in seinem Bericht zu Recht die Frage auf, was ein TÜV-Zertifikat und die Dienstleistungen des TÜV Süd wert sind, wenn es dennoch zu solch einer eklatanten Panne kommt – für die es nicht einmal besonderer Hackerqualitäten bedarf, um sie auszunutzen. Beckedahl sieht nur zwei Möglichkeiten, warum es schiefging: Dem TÜV Süd ist beim Datenschutz-Audit die Lücke nicht aufgefallen oder sie war nicht vorhanden und kam erst in Folge eines Software-Updates hinzu. So oder so sollte man dann aber künftig solchen Siegeln Misstrauen entgegenbringen – sowohl als Kunde als auch als Shopbetreiber.


Schon übel sowas. Mich würde es nicht wundern, dass die Kunden dann iwelche Werbung von iwelchen Firmen kriegen oda so, weil die ja dann die Adresse haben usw.
Quelle

Grizzly

Administrator

  • »Grizzly« ist der Autor dieses Themas

Beiträge: 6 690

Aktivitätspunkte: 36 135

Wohnort: Lichtenau

Beruf: Anwendungsentwickler

  • Nachricht senden

2

Freitag, 30. Oktober 2009, 12:57

Zitat

Netzpolitik.org berichtet, dass bei den Libri-Konten vieler Buchhändler der Login-Name gleich dem Passwort war. Dabei wird der Login-Name nur durch eine mehrstellige Zahl repräsentiert. Zudem hat Libri offenbar die Zahlen sequentiell belegt. Mitarbeitern von netzpolitik.org gelang auf diese Weise probehalber die Anmeldung an die Konten einiger der mehr als 1000 Händler, für die Libri einen Online-Marktplatz zur Verfügung stellt. Für den Zugriff auf mehrere Konten genügte es, die Login-Nummer um jeweils eins zu erhöhen. In den Konten fanden sich laut Bericht sämtliche Daten der jeweiligen Online-Vertriebsgeschichte.


Quelle

Wird ja immer schlimmer....