Thema: Libri lässt Kundenrechnungen offen im Netz liegen

[SiLæncer]

Durch eine Lücke im System des Online-Buchhändlers Libri.de war es jedermann möglich, online unautorisiert mehrere tausend Rechnungen von Kunden einzusehen. Das berichtet netzpolitik.org. Zum Abruf genügte es, in der URL der online als PDF hinterlegten Rechnungen einfach die Rechnungsnummer zu variieren – die einfach durchnummeriert waren. Auf diese Weise konnten die Mitarbeiter von netzpolitik.org per Skript in einer halben Stunde rund 20.000 Rechnungen herunterladen.

Die Rechnungen enthielten die Kundenadresse, das Kaufdatum, die gekauften Produkte, Preis, Rechnungsnummer, Kundennummer und die Bezahlweise (jedoch keine Bankdaten) sowie den Partner vor Ort. Libri arbeitet nämlich auch als Dienstleister für viele stationäre Buchhändler und andere Online-Shops. Durch das Herunterladen und Auswerten der Rechnungen ließe sich laut Bericht nachvollziehen, wer welche Bestellungen in der letzten 16 Monaten über Libri getätigt hat.

Das Brisante an dem Vorfall: Libri.de wurde vom TÜV-Süd AG mit dem Safer-Shopping-Zertifikat ausgezeichnet und wirbt auf seiner Seite auch prominent mit dem TÜV-Siegel. Mittlerweile ist die Lücke geschlossen. Laut Libri sind "Kundendaten nach Analyse der Logfiles nicht in den Umlauf gekommen."

Markus Beckedahl von netzpolitik.org wirft in seinem Bericht zu Recht die Frage auf, was ein TÜV-Zertifikat und die Dienstleistungen des TÜV Süd wert sind, wenn es dennoch zu solch einer eklatanten Panne kommt – für die es nicht einmal besonderer Hackerqualitäten bedarf, um sie auszunutzen. Beckedahl sieht nur zwei Möglichkeiten, warum es schiefging: Dem TÜV Süd ist beim Datenschutz-Audit die Lücke nicht aufgefallen oder sie war nicht vorhanden und kam erst in Folge eines Software-Updates hinzu. So oder so sollte man dann aber künftig solchen Siegeln Misstrauen entgegenbringen – sowohl als Kunde als auch als Shopbetreiber.

Quelle : www.heise.de

[SiLæncer]

Offenbar war es mit den Sicherheitsmaßnahmen beim Online-Buchhändler und -Marktplatz Libri noch weit schlechter bestellt, als bislang angenommen. Netzpolitik.org berichtet , dass bei den Libri-Konten vieler Buchhändler der Login-Name gleich dem Passwort war. Dabei wird der Login-Name nur durch eine mehrstellige Zahl repräsentiert. Zudem hat Libri offenbar die Zahlen sequentiell belegt. Mitarbeitern von netzpolitik.org gelang auf diese Weise probehalber die Anmeldung an die Konten einiger der mehr als 1000 Händler, für die Libri einen Online-Marktplatz zur Verfügung stellt. Für den Zugriff auf mehrere Konten genügte es, die Login-Nummer um jeweils eins zu erhöhen. In den Konten fanden sich laut Bericht sämtliche Daten der jeweiligen Online-Vertriebsgeschichte.

Gestern erst war bekannt geworden, dass durch eine Lücke im System von Libri.de der unautorisierte Zugriff auf mehrere tausend Rechnungen von Kunden möglich war. Zum Abruf genügte es, in der URL der als PDF verfassten Rechnung einfach die Rechnungsnummer zu variieren – ähnlich wie nun bei den Logins. Die Rechnungen enthielten die Kundenadresse, das Kaufdatum, die gekauften Produkte, Preis, Rechnungsnummer, Kundennummer und die Bezahlweise (jedoch keine Bankdaten) sowie den Partner vor Ort. Durch das Herunterladen und Auswerten der Rechnungen ließe sich nachvollziehen, wer welche Bestellungen in der letzten 16 Monaten über Libri getätigt hatte.

Laut Bericht waren im Unterschied zu den 500.000 Rechnungen in den einzelnen Shop aber mehr private und gewerbliche Daten einzusehen. Ursache des erneuten Problems ist, dass Libri nach dem Anlegen eines Kontos für einen Shopbetreiber das Passwort standardmäßig vorbelegt hat und die Kunden dies anschließend nicht änderten.

Laut Libri lässt sich aber nicht mehr feststellen, welcher Händler sein Passwort geändert hat, da diese verschlüsselt gespeichert werden. Aus Sicherheitsgründen hat Libri gestern abend daher alle Passwörter durch neu (und sicher) generierte ersetzt. Künftig wird der Anwender nach dem ersten Login dazu gezwungen, sein Passwort zu ändern.

Erneut stellt sich die Frage, wie das vorherige, unsichere Vergabesystem mit der Zertifizierung des Systems durch den TÜV Süd in Einklang steht.

Frank Rosengart von Chaos Computer Club meint gegenüber netzpolitik.org zu den Vorfällen: "Libri.de hat bewiesen, dass sie nicht einmal über Grundkenntnisse in IT-Sicherheit verfügen. Das Vergeben von solchen Initialpasswörtern darf einfach nicht passieren, und in Kombination mit dem PDF-URL-Dingens muss man leider davon ausgehen, dass personenbezogene Daten bei libri.de nicht gut aufgehoben sind. Das Unternehmen hielt es bisher auch nicht für notwendig, seine Kunden über das Problem zu informieren, was das Mindeste in einer solchen Situation gewesen wäre."

Quelle : www.heise.de

[SiLæncer]

Nach Libri hat nun den Deutschen Sparkassenverlag (DSV) ein Datenschutzproblem mit Kundenrechnungen ereilt. So konnten angemeldete Nutzer die Rechnungen anderer Kunden durch Ändern einer bestimmten ID einsehen. Das berichtet netzpolitik.org.

Anders als bei Libri genügte dazu allerdings nicht das simple Manipulieren der URL im Browser. Vielmehr war das Ändern der ID-Variablen im POST-Request eines Formulars notwendig – das lässt sich aber beispielsweise mit speziellen Web-Proxies oder dem Firefox-Plug-in Firebug bewerkstelligen. Mitarbeiter des Newsdienstes netzpolitik.org hatten auf diese Weise nach eigenen Angaben Zugriff auf fast 350.000 Rechnungen im Sparkassen-Shop.

Im Shop des Sparkassenverlags kann man etwa Finanzsoftware wie Star Money 7.0 und Publikationen erwerben. Der Shop steht jedoch weder in direkter Verbindung zu den Auftritten der Sparkassenfilialen noch zum Online-Banking. Allerdings verkauft der DSV nicht nur Bücher und Software, sondern erbringt auch IT-Dienstleistungen innerhalb der Sparkassenverbände. Zudem betreibt er im Rahmen von S-TRUST eine Zertifizierungsstelle nach deutschem Signaturgesetz.

Die von netzpolitik.org eingesehenen Rechnungen enthielten Name, Anschrift, gekauftes Produkt, Liefer- und Rechnungsadresse, dazu die Einkaufszeit und die Zahlungsweise. Zudem fanden sich Zahlungsart und sofern Bankeinzug Angaben über Kontoinhaber, Bankleitzahl und der Name der Bank. Die Kontonummern waren jedoch bis auf die letzten vier Zahlen zur Sicherheit geschwärzt. Der Deutsche Sparkassenverlag wurde über die Lücke informiert und soll sie mittlerweile geschlossen haben. Eine offizielle Stellungnahme liegt jedoch noch nicht vor.

Quelle : www.heise.de

[SiLæncer]

Laut Stellungnahme des Sparkassenverlages wurde die Bestell-ID im System "zwar mehrfach validiert und insbesondere gegen schadhafte Codes geprüft und entsprechend gefiltert. Allerdings berücksichtigte der Prüfvorgang nicht, ob die ausgewählte Bestell-ID zum angemeldeten Kundenprofil passte." Künftig wird die ID zusätzlich auf die Zugehörigkeit zum angemeldeten Nutzer geprüft. Wird eine fremde Bestell-ID eingeschleust, so soll das System künftig nur die Bestellhistorie des angemeldeten Kunden ausgeben.

Darüber hinaus hat der DSV nach eigenen Angaben umfassende Funktionstests des Kundenbereichs durchgeführt, wobei man jedoch keine weiteren Unregelmäßigkeiten entdeckt haben will. "Um den hohen Sicherheitsstandard für die Shopkunden dauerhaft zu gewährleisten, untersucht nun eine Arbeitsgruppe das Shop-Frontend. Anschließend wird ein externer Dienstleister einen erneuten Sicherheits- und Penetrationstest durchführen.", schreibt der DSV in seiner Stellungnahme.

Quelle : www.heise.de