Der Online-Buchhändler Libri.de hat nur einen Tag, nachdem bekannt geworden war, dass tausende Kundenrechnungen für jedermann frei im Internet einsehbar waren, eine zweite Datenpanne einräumen müssen. Diesmal war das Content-Management-System für die Online-Shops der Libri-Partner betroffen.
Erneut hatte Netzpolitik.org den Medienhändler, der als Dienstleister für über 1000 Buchhändler tätig ist und deren Onlineshops betreibt, gestern Mittag über die Schwachstelle informiert. Einem Leser des Blogs war aufgefallen, dass er durch einfache Manipulation der aus einer mehrstellige Zahl bestehenden Benutzerkennung und dem meist gleichlautendem Standardpasswort Zugang zu verschiedenen Online-Shops erhielt. Dazu musste er lediglich die Benutzerkennzahl um 1 erhöhen. Schon bei den rund 500.000 frei einsehbaren Rechnungen hatte Libri.de eine unsichere, fortlaufende Nummerierung verwendet.
Netzpolitik.org überprüfte nach eigenen Angaben das beschriebene Verfahren an drei bis vier Shops. Auf diese Weise habe man Zugriff auf sämtliche Bestellstatistiken, die Bestellhistorie, die Beleghistorie und die Kundenliste mit E-Mail- und Postadressen erhalten. Zudem seien theoretisch Datenmanipulationen möglich gewesen. Neben Libri.de hat der Blog auch den Hamburger Landesdatenschutzbeauftragten informiert.
Nach dem Hinweis von Netzpolitik.org habe man den Online-Zugang zum betroffenen Redaktionssystem unverzüglich gesperrt, teilte der Medienhändler mit. Schließlich seien alle Passwörter mithilfe eines sicheren Passwort-Generators neu gesetzt worden. Zudem habe man schärfere Sicherheitsmaßnahmen für die Wahl des Passworts und den Log-in-Prozess eingeführt.
„Die neuerlichen Weiterungen des Falles dokumentieren ein erschreckendes Ausmaß an Unkenntnis und Nachlässigkeit im Umgang mit Daten und der Datensicherheit“, sagte der Hamburger Datenschutzbeauftragte, Johannes Caspar, gegenüber Netzpolitik.org. Dies gelte sowohl für die Vergabe von simplen Initialpasswörtern durch Libri.de als auch für die Storebetreiber selbst, die auf eine Änderung des Zugangspassworts verzichteten. „Dass sie dadurch auch die persönlichen Daten ihrer Kunden preisgeben, ist aus Datenschutzsicht nicht hinnehmbar.“
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…