Nach dem Online-Buchhändler Libri hat nun auch der Deutsche Sparkassenverlag (DSV) mit einem Sicherheitsleck in dem von ihm betriebenen Webshop zu kämpfen. Wie der Blog Netzpolitik.org berichtet, war es durch einfache Manipulation und ohne Programmierkenntnisse möglich, sich die Rechnung anderer Kunden anzeigen zu lassen. Dazu musste im Quellcode der Bestellhistorie lediglich eine sechsstellige ID geändert werden.
Auf den Hinweis eines Lesers hin testete der Blog das beschriebene Verfahren und erhielt damit nach eigener Aussage Zugriff auf fast 350.000 Rechnungen des auf www.sparkasse.de eingebundenen Sparkassen-Shops. Sie enthielten unter anderem Name, Anschrift, Bestellinformationen, Liefer- und Rechnungsadresse, Einkaufszeit sowie die Zahlungsweise. Auch der Kontoinhaber, die Bankleitzahl, der Name der Bank und Teile der Kontonummer waren laut Netzpolitik.org einsehbar. Angeblich wäre es auch möglich gewesen, mithilfe eines Skripts alle Rechnungen automatisch herunterzuladen.
Netzpolitik.org hat den Deutschen Sparkassenverlag gestern über die Schwachstelle informiert. Inzwischen ist die Sicherheitslücke geschlossen. Nach Angaben des Shop-Betreibers konnte kein Missbrauch nachgewiesen werden.
In einer Mitteilung des DSV heißt es: „Die zwecks Aufdeckung einer Sicherheitslücke eingeschleuste Bestell-ID wurde mehrfach validiert und insbesondere gegen schadhafte Codes geprüft und entsprechend gefiltert. Allerdings berücksichtigte der Prüfvorgang nicht, ob die ausgewählte Bestell-ID zum angemeldeten Kundenprofil passte. Als Folge konnten Bestelldaten von fremden Kundenprofilen ausgelesen werden.“ Eine zusätzlich eingebaute Prüfung hinsichtlich der Zugehörigkeit der Bestellung vor dem Laden der Bestelldaten soll dies ab sofort verhindern.
Nach umfassenden Funktionstest des Kundenbereichs wurden laut DSV keine weiteren Unregelmäßigkeiten entdeckt. Eine Arbeitsgruppe untersuche nun das Shop-Frontend, bevor ein externer Dienstleister einen erneuten Sicherheits- und Penetrationstest durchführe.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…