Der Online-Buchhändler Libri.de hat nur einen Tag, nachdem bekannt geworden war, dass tausende Kundenrechnungen für jedermann frei im Internet einsehbar waren, eine zweite Datenpanne einräumen müssen. Diesmal war das Content-Management-System für die Online-Shops der Libri-Partner betroffen.
Erneut hatte Netzpolitik.org den Medienhändler, der als Dienstleister für über 1000 Buchhändler tätig ist und deren Onlineshops betreibt, gestern Mittag über die Schwachstelle informiert. Einem Leser des Blogs war aufgefallen, dass er durch einfache Manipulation der aus einer mehrstellige Zahl bestehenden Benutzerkennung und dem meist gleichlautendem Standardpasswort Zugang zu verschiedenen Online-Shops erhielt. Dazu musste er lediglich die Benutzerkennzahl um 1 erhöhen. Schon bei den rund 500.000 frei einsehbaren Rechnungen hatte Libri.de eine unsichere, fortlaufende Nummerierung verwendet.
Netzpolitik.org überprüfte nach eigenen Angaben das beschriebene Verfahren an drei bis vier Shops. Auf diese Weise habe man Zugriff auf sämtliche Bestellstatistiken, die Bestellhistorie, die Beleghistorie und die Kundenliste mit E-Mail- und Postadressen erhalten. Zudem seien theoretisch Datenmanipulationen möglich gewesen. Neben Libri.de hat der Blog auch den Hamburger Landesdatenschutzbeauftragten informiert.
Nach dem Hinweis von Netzpolitik.org habe man den Online-Zugang zum betroffenen Redaktionssystem unverzüglich gesperrt, teilte der Medienhändler mit. Schließlich seien alle Passwörter mithilfe eines sicheren Passwort-Generators neu gesetzt worden. Zudem habe man schärfere Sicherheitsmaßnahmen für die Wahl des Passworts und den Log-in-Prozess eingeführt.
„Die neuerlichen Weiterungen des Falles dokumentieren ein erschreckendes Ausmaß an Unkenntnis und Nachlässigkeit im Umgang mit Daten und der Datensicherheit“, sagte der Hamburger Datenschutzbeauftragte, Johannes Caspar, gegenüber Netzpolitik.org. Dies gelte sowohl für die Vergabe von simplen Initialpasswörtern durch Libri.de als auch für die Storebetreiber selbst, die auf eine Änderung des Zugangspassworts verzichteten. „Dass sie dadurch auch die persönlichen Daten ihrer Kunden preisgeben, ist aus Datenschutzsicht nicht hinnehmbar.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…