Nach dem Online-Buchhändler Libri hat nun auch der Deutsche Sparkassenverlag (DSV) mit einem Sicherheitsleck in dem von ihm betriebenen Webshop zu kämpfen. Wie der Blog Netzpolitik.org berichtet, war es durch einfache Manipulation und ohne Programmierkenntnisse möglich, sich die Rechnung anderer Kunden anzeigen zu lassen. Dazu musste im Quellcode der Bestellhistorie lediglich eine sechsstellige ID geändert werden.

Auf den Hinweis eines Lesers hin testete der Blog das beschriebene Verfahren und erhielt damit nach eigener Aussage Zugriff auf fast 350.000 Rechnungen des auf www.sparkasse.de eingebundenen Sparkassen-Shops. Sie enthielten unter anderem Name, Anschrift, Bestellinformationen, Liefer- und Rechnungsadresse, Einkaufszeit sowie die Zahlungsweise. Auch der Kontoinhaber, die Bankleitzahl, der Name der Bank und Teile der Kontonummer waren laut Netzpolitik.org einsehbar. Angeblich wäre es auch möglich gewesen, mithilfe eines Skripts alle Rechnungen automatisch herunterzuladen.

Netzpolitik.org hat den Deutschen Sparkassenverlag gestern über die Schwachstelle informiert. Inzwischen ist die Sicherheitslücke geschlossen. Nach Angaben des Shop-Betreibers konnte kein Missbrauch nachgewiesen werden.

In einer Mitteilung des DSV heißt es: „Die zwecks Aufdeckung einer Sicherheitslücke eingeschleuste Bestell-ID wurde mehrfach validiert und insbesondere gegen schadhafte Codes geprüft und entsprechend gefiltert. Allerdings berücksichtigte der Prüfvorgang nicht, ob die ausgewählte Bestell-ID zum angemeldeten Kundenprofil passte. Als Folge konnten Bestelldaten von fremden Kundenprofilen ausgelesen werden.“ Eine zusätzlich eingebaute Prüfung hinsichtlich der Zugehörigkeit der Bestellung vor dem Laden der Bestelldaten soll dies ab sofort verhindern.

Nach umfassenden Funktionstest des Kundenbereichs wurden laut DSV keine weiteren Unregelmäßigkeiten entdeckt. Eine Arbeitsgruppe untersuche nun das Shop-Frontend, bevor ein externer Dienstleister einen erneuten Sicherheits- und Penetrationstest durchführe.


Durch leichte Quellcodeänderungen waren fast 350.000 Rechnungen des Sparkassen-Shops einsehbar (Screenshot: Netzpolitik.org).

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

15 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago