Der Online-Buchhändler Libri.de hat nach eigenen Angaben eine Sicherheitslücke geschlossen, durch die Rechnungsdaten seiner Kunden theoretisch für jedermann einsehbar waren. Ein Schaden sei jedoch nicht entstanden, so das Unternehmen. Nach Auswertung der Logfiles stehe fest, dass keine Kundendaten in Umlauf gelangt seien. Auch seien zu keinem Zeitpunkt Zahlungsdaten betroffen gewesen.
Der Blog Netzpolitik.org hatte den Medienhändler, der als Dienstleister für über 1000 Buchhändler tätig ist und zahlreiche Online-Shops betreibt, gestern über die Schwachstelle informiert. Einem Leser des Blogs war aufgefallen, dass der nach einer Online-Bestellung an ihn versandte Link zu einer PDF-Datei nach einfacher Manipulation die Rechnung eines anderen Kunden anzeigte. Dazu musste er lediglich die sechsstellige „invoiceId“ am Ende der URL nach dem Muster http://www.libri.de/shop/action/account/invoiceDownload?invoiceId=123456 ändern.
Mithilfe eines einfachen Skripts konnte Netzpolitik.org nach eigenen Angaben auf diese Weise innerhalb einer halben Stunde knapp 20.000 der etwa 40 KByte großen PDF-Dateien herunterladen. Insgesamt hätten rund 500.000 Rechnungen aus den vergangenen 16 Monaten mehr oder weniger frei im Netz gestanden, auf denen die Kundenadresse, das Kaufdatum, die gekaufte Ware, die Zahlungsweise (ohne Kontonummer) und der Partner-Buchhändler vor Ort vermerkt waren.
Der Blog informierte neben Libri.de auch den Hamburger Landesdatenschutzbeauftragten. Daraufhin habe der Medienhändler die Lücke noch im Laufe des Nachmittags schließen können.
Libri.de wirbt damit, seine Datensicherheit regelmäßig unter anderem durch den TÜV prüfen zu lassen. Der TÜV Süd hat den Libri-Shop sogar mit dem „S@fer-Shopping-Zertifikat“ ausgezeichnet, das eine besonders hohe Sicherheit bei der Bezahlung und im Umgang mit persönlichen Daten attestiert. Daher kritisiert Netzpolitik.org das Prüfverfahren der TÜV-Stelle. Allerdings weist der Blog gleichzeitig darauf hin, dass nicht klar sei, ob die Sicherheitslücke übersehen wurde oder ob sie erst nach der Prüfung durch ein System-Update entstanden ist. In jedem Fall sollten Kunden auch mit solchen Zertifikaten ausgezeichneten Anbietern nicht blind vertrauen.
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…
In einigen Unternehmensbereichen sind angeblich bis zu 30 Prozent der Beschäftigten betroffen. Samsung spricht in…
Sie erlauben eine Remotecodeausführung. Betroffen sind alle unterstützten Versionen von Adobe Reader und Acrobat für…