Der Online-Buchhändler Libri.de hat nach eigenen Angaben eine Sicherheitslücke geschlossen, durch die Rechnungsdaten seiner Kunden theoretisch für jedermann einsehbar waren. Ein Schaden sei jedoch nicht entstanden, so das Unternehmen. Nach Auswertung der Logfiles stehe fest, dass keine Kundendaten in Umlauf gelangt seien. Auch seien zu keinem Zeitpunkt Zahlungsdaten betroffen gewesen.
Der Blog Netzpolitik.org hatte den Medienhändler, der als Dienstleister für über 1000 Buchhändler tätig ist und zahlreiche Online-Shops betreibt, gestern über die Schwachstelle informiert. Einem Leser des Blogs war aufgefallen, dass der nach einer Online-Bestellung an ihn versandte Link zu einer PDF-Datei nach einfacher Manipulation die Rechnung eines anderen Kunden anzeigte. Dazu musste er lediglich die sechsstellige „invoiceId“ am Ende der URL nach dem Muster http://www.libri.de/shop/action/account/invoiceDownload?invoiceId=123456 ändern.
Mithilfe eines einfachen Skripts konnte Netzpolitik.org nach eigenen Angaben auf diese Weise innerhalb einer halben Stunde knapp 20.000 der etwa 40 KByte großen PDF-Dateien herunterladen. Insgesamt hätten rund 500.000 Rechnungen aus den vergangenen 16 Monaten mehr oder weniger frei im Netz gestanden, auf denen die Kundenadresse, das Kaufdatum, die gekaufte Ware, die Zahlungsweise (ohne Kontonummer) und der Partner-Buchhändler vor Ort vermerkt waren.
Der Blog informierte neben Libri.de auch den Hamburger Landesdatenschutzbeauftragten. Daraufhin habe der Medienhändler die Lücke noch im Laufe des Nachmittags schließen können.
Libri.de wirbt damit, seine Datensicherheit regelmäßig unter anderem durch den TÜV prüfen zu lassen. Der TÜV Süd hat den Libri-Shop sogar mit dem „S@fer-Shopping-Zertifikat“ ausgezeichnet, das eine besonders hohe Sicherheit bei der Bezahlung und im Umgang mit persönlichen Daten attestiert. Daher kritisiert Netzpolitik.org das Prüfverfahren der TÜV-Stelle. Allerdings weist der Blog gleichzeitig darauf hin, dass nicht klar sei, ob die Sicherheitslücke übersehen wurde oder ob sie erst nach der Prüfung durch ein System-Update entstanden ist. In jedem Fall sollten Kunden auch mit solchen Zertifikaten ausgezeichneten Anbietern nicht blind vertrauen.
Copilot wird stärker in Microsoft 365 integriert. Neue Funktionen stehen unter anderem für Excel, Outlook,…
Schwachstelle weist laut Tenable auf schwerwiegende Sicherheitslücke in Google Cloud Diensten hin, insbesondere App Engine,…
Die neue Version kommt mit einem Supportzeitraum von fünf Jahren. Währenddessen erhält Office LTSC 2024…
Sie führen unter Umständen zur Preisgabe vertraulicher Informationen oder gar zu einem Systemabsturz. Apples KI-Dienste…
Das Projekt liegt wahrscheinlich für rund zwei Jahre auf Eis. Aus der Fertigungssparte Intel Foundry…
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…