Der Online-Buchhändler Libri.de hat nach eigenen Angaben eine Sicherheitslücke geschlossen, durch die Rechnungsdaten seiner Kunden theoretisch für jedermann einsehbar waren. Ein Schaden sei jedoch nicht entstanden, so das Unternehmen. Nach Auswertung der Logfiles stehe fest, dass keine Kundendaten in Umlauf gelangt seien. Auch seien zu keinem Zeitpunkt Zahlungsdaten betroffen gewesen.
Der Blog Netzpolitik.org hatte den Medienhändler, der als Dienstleister für über 1000 Buchhändler tätig ist und zahlreiche Online-Shops betreibt, gestern über die Schwachstelle informiert. Einem Leser des Blogs war aufgefallen, dass der nach einer Online-Bestellung an ihn versandte Link zu einer PDF-Datei nach einfacher Manipulation die Rechnung eines anderen Kunden anzeigte. Dazu musste er lediglich die sechsstellige „invoiceId“ am Ende der URL nach dem Muster http://www.libri.de/shop/action/account/invoiceDownload?invoiceId=123456 ändern.
Mithilfe eines einfachen Skripts konnte Netzpolitik.org nach eigenen Angaben auf diese Weise innerhalb einer halben Stunde knapp 20.000 der etwa 40 KByte großen PDF-Dateien herunterladen. Insgesamt hätten rund 500.000 Rechnungen aus den vergangenen 16 Monaten mehr oder weniger frei im Netz gestanden, auf denen die Kundenadresse, das Kaufdatum, die gekaufte Ware, die Zahlungsweise (ohne Kontonummer) und der Partner-Buchhändler vor Ort vermerkt waren.
Der Blog informierte neben Libri.de auch den Hamburger Landesdatenschutzbeauftragten. Daraufhin habe der Medienhändler die Lücke noch im Laufe des Nachmittags schließen können.
Libri.de wirbt damit, seine Datensicherheit regelmäßig unter anderem durch den TÜV prüfen zu lassen. Der TÜV Süd hat den Libri-Shop sogar mit dem „S@fer-Shopping-Zertifikat“ ausgezeichnet, das eine besonders hohe Sicherheit bei der Bezahlung und im Umgang mit persönlichen Daten attestiert. Daher kritisiert Netzpolitik.org das Prüfverfahren der TÜV-Stelle. Allerdings weist der Blog gleichzeitig darauf hin, dass nicht klar sei, ob die Sicherheitslücke übersehen wurde oder ob sie erst nach der Prüfung durch ein System-Update entstanden ist. In jedem Fall sollten Kunden auch mit solchen Zertifikaten ausgezeichneten Anbietern nicht blind vertrauen.
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.
Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…