Nach dem Online-Buchhändler Libri hat nun auch der Deutsche Sparkassenverlag (DSV) mit einem Sicherheitsleck in dem von ihm betriebenen Webshop zu kämpfen. Wie der Blog Netzpolitik.org berichtet, war es durch einfache Manipulation und ohne Programmierkenntnisse möglich, sich die Rechnung anderer Kunden anzeigen zu lassen. Dazu musste im Quellcode der Bestellhistorie lediglich eine sechsstellige ID geändert werden.
Auf den Hinweis eines Lesers hin testete der Blog das beschriebene Verfahren und erhielt damit nach eigener Aussage Zugriff auf fast 350.000 Rechnungen des auf www.sparkasse.de eingebundenen Sparkassen-Shops. Sie enthielten unter anderem Name, Anschrift, Bestellinformationen, Liefer- und Rechnungsadresse, Einkaufszeit sowie die Zahlungsweise. Auch der Kontoinhaber, die Bankleitzahl, der Name der Bank und Teile der Kontonummer waren laut Netzpolitik.org einsehbar. Angeblich wäre es auch möglich gewesen, mithilfe eines Skripts alle Rechnungen automatisch herunterzuladen.
Netzpolitik.org hat den Deutschen Sparkassenverlag gestern über die Schwachstelle informiert. Inzwischen ist die Sicherheitslücke geschlossen. Nach Angaben des Shop-Betreibers konnte kein Missbrauch nachgewiesen werden.
In einer Mitteilung des DSV heißt es: „Die zwecks Aufdeckung einer Sicherheitslücke eingeschleuste Bestell-ID wurde mehrfach validiert und insbesondere gegen schadhafte Codes geprüft und entsprechend gefiltert. Allerdings berücksichtigte der Prüfvorgang nicht, ob die ausgewählte Bestell-ID zum angemeldeten Kundenprofil passte. Als Folge konnten Bestelldaten von fremden Kundenprofilen ausgelesen werden.“ Eine zusätzlich eingebaute Prüfung hinsichtlich der Zugehörigkeit der Bestellung vor dem Laden der Bestelldaten soll dies ab sofort verhindern.
Nach umfassenden Funktionstest des Kundenbereichs wurden laut DSV keine weiteren Unregelmäßigkeiten entdeckt. Eine Arbeitsgruppe untersuche nun das Shop-Frontend, bevor ein externer Dienstleister einen erneuten Sicherheits- und Penetrationstest durchführe.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…