Online Versandhandel-System offen wie ein Scheunentor

11. September 2006, 09:21
  • security
image

Ein E-Business-Wirtschaftskrimi aus Deutschland

Ein E-Business-Wirtschaftskrimi aus Deutschland
Der Internet-Laden des deutschen Quelle-Versands, ein vorbestrafter Hacker aus Ostdeutschland und das Magazin 'WirtschaftsWoche': Dies sind die Ingredienzen des jüngsten Wirtschaftskrimis aus Deutschland - für einmal ganz ohne Insider-Handel und Kickbacks.
Der Quelle-Versand hatte, wie die 'WiWo' am Freitag aufdeckte, gravierende Prozessfehler in seinen Online-Auftritt eingebaut. Jedermann konnte sich mit einem einfachen Trick Zugang zum Bestellsystem der 4000 Quelle-Händler ("Quelle Shops") verschaffen und dort Kundendaten nicht nur einsehen, sondern auch verändern. Das ging so: Wenn man im Dialog unter "Passwort vergessen" als Name den Firmennamen und Ort eines Quelle Shops eingab, wurde man automatisch in das Bestellsystem für die Shops umgeleitet. Man brauchte nur noch das Geburtsdatum eines Shopinhabers herauszufinden, um an ein gültiges Passwort heranzukommen.
Einmal in der Online-Plattform für die Quelle Shops eingeloggt, konnte man dann beliebig in den Daten der Kunden herumfummeln - zum Beispiel Bestellungen als bezahlt markieren oder die Lieferadresse verändern.
Erpressung oder Aufklärung?
Die extrem grosse Lücke im Internet-Bestellsystem des deutschen Versandhändlers wurde auch bereits ausgenützt. Die 'WiWo' berichtet von einem Schaden von 20'000 Euro - nicht eingerechnet ist der Imageschaden, den die Versandhändler erlitten.
Der Quelle Versand war übrigens von einem Hacker, der die Lücke entdeckt hatte, gewarnt worden. Letzterer hatte den Versandhändlern angeboten, das Loch gegen ein Honorar aufzuzeigen. Quelle empfand dies allerdings als Erpressung und überlegt nun, den Mann anzuzeigen. Worauf dieser eben zur 'WiWo' ging.
Prozess- nicht Softwarefehler
Interessant an der Geschichte dünkt uns, dass es nicht um ein typisches "IT-Security"-Problem geht. Keine Firewall und keine Box für "Intrusion Detection & Prevention" hätte in diesem Fall die Versandhändler vor Manipulation ihrer Kundendaten geschützt. Denn die einfachen Login-Prozesse in den Kunden- und Händler-Shops waren schlicht und einfach falsch gebaut.
Ähnliche, wenn auch weniger gravierende Probleme hat gemäss WiWo übrigens auch der Online-Shop von Neckermann. Es genügte, den Namen, Adresse und die E-Mail-Adresse eines Kunden zu kennen, um an dessen Bestelldaten heranzukommen. (Christoph Hugenschmidt)
Hinweis: Wer sich mit Sicherheitsaspekten von Online-Applikationen beschäftigt, sollte vielleicht auch einen Blick auf das Kongress-Programm der Veranstaltung 'Security-Zone' (20./21.9. in Zürich) werfen.

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022
image

MFA kommt erst langsam in Firmen an

Die Zahl der Unternehmen, die Multifaktor-Authentifizierung für Angestellte implementieren, steigt einem Report von Thales zufolge nur langsam.

publiziert am 22.9.2022