Software-Bug: Web-Shopper können sich selbst Rabatt einräumen

Wer wünscht sich das nicht: Man geht in ein Geschäft, sucht sich die Waren aus und an der Kasse kann man dann den für sich angemessenen Preis festlegen. Genau das soll virtuell mit dem E-Commerce-Programm „Shop-Factory“ des australischen Unternehmens 3D3.com möglich sein.

Ein Sicherheitsloch in der Software erlaubt es den Online-Kunden, den Waren einen eigenen Preis zu geben, warnt die US-Sicherheitsfirma Trust Factory auf ihrer Site.

Das Programm, das vor allem von kleinen Online-Händlern eingesetzt wird, erstellt unter anderem Einkaufswagen für Web-Kunden, sobald sie eine Ware kaufen wollen. Das Sicherheitsrisiko liegt laut den Sicherheitsberatern genau in dem Feature, wie das Programm die Preisinformation mit der Ware speichere, die der Kunde für seinen virtuellen Einkaufswagen ausgewählt hat. Die Software von 3D3.com speichert exakt diese Einkaufswagen-Info in einem unverschlüsselten Cookie auf dem PC des Kunden. Ändere der User die Preisinformation mit einem simplen Text-Editor ab, akzeptiere das System die neuen Preise an der Kasse, heißt es weiter.

Inzwischen hat 3D3.com kommentarlos ein Update auf Version 5.8 veröffentlicht. Demnach soll das Problem behoben worden sein, indem das E-Commerce-Programm nicht mehr die Informationen aus dem Cookie ausliest, wenn das Cookie-Creation Feature deaktiviert ist. Dadurch ist jedoch der User bei jedem Besuch der Site gezwungen, seine Waren neu auszuwählen.