Nach einem Bericht des Linux-Fachportals "Linux Magazin" hat das Internetportal des Automobilclubs ADAC eine gravierende Sicherheitslücke. Dies ermöglicht unbefugten Personen an Mitglieder Daten zu gelangen und dann auf deren Kosten einzukaufen.
Laut den Sicherheitsexperten des Linux-Fachportals müssen Angreifer nur im Besitz einer fremden ADAC-Mitgliedskarte sein oder sich die darauf befindlichen Daten (Name, Mitgliedsnummer, Beitrittstag) aufgeschrieben haben. Die Funktion "Passwort ändern" wird nicht das aktuelle Passwort, die Mailadresse oder anderes Merkmal der Identität gecheckt.
Ein Cyberkrimineller bräuchte einfach nur ein neues Passwort einzugeben und hätte dann Zugriff auf die Mitgliedsdaten. Wenn das ADAC-Mitglied zudem seine Kontodaten eingetragen hat, dann kann der Unbefugte nach Aktivierung des Bankeinzugs auf Kosten des Mitglieds einfach Artikel kaufen. Die Experten des Linux-Fachportals haben einen Test durchgeführt und die bestellten Artikel kamen auch an.
Die Verantwortlichen des ADAC-Portals kennen das Sicherheitslecks und bezeichnen dies als kleines Problem. Wenn jemand zur Zielscheibe eines Angreifers werden sollte dann entsteht dem Mitglied kein Schaden, weil unfreiwillige Bestellungen storniert werden.
