THEMEN

Sparkassen Shop von Sicherheitsluecke betroffen
Veröffentlicht am Mittwoch, 04.November 2009 von Redaktion


Datenpannen können überall vorkommen, wie nun bekannt wurde hatte nun auch der Deutsche Sparkassenverlag (kurz DSV) mit einer Sicherheitslücke, in dem von ihm betriebenen Webshop, zu kämpfen. Inzwischen soll die Schwachstelle, bei der ca. 350.000 Kundenrechnungen unter anderem mit Name, Anschrift, Bestellinformationen, Liefer- und Rechnungsadresse sowie die Zahlungsweise einsehbar waren, wieder geschlossen sein.



Zum ausnutzen der Schwachstelle musste lediglich im Quellcode der Bestellhistorie eine sechs stellige ID geändert werden. Es heißt, dass auch Internet Nutzer ohne Programmierkenntnisse in der Lage waren, derartige Manipulationen zu tätigen. Durch die inzwischen geschlossene Sicherheitslücke war es Internetnutzern nicht nur möglich an Name, Anschrift, Bestellinformationen, Liefer- und Rechnungsadresse fremder Personen zu gelangen.

Es konnte nicht nur erfahren werden was zu welcher Zeit eingekauft wurde und wie es bezahlt werden sollte. Selbst so sensible Daten wie der Name des Kontoinhabers, die Bankleitzahl, der Name der Bank und Teile der Kontonummer waren ungeschützt und somit einzusehen. Mit Hilfe eines Skripts soll es angeblich sogar möglich gewesen sein alle Rechnungen automatisch herunterzuladen.

Durch die in der Zwischenzeit geschlossene Schwachstelle soll es keinen Missbrauch gegeben haben. In einer Mitteilung des der Deutsche Sparkassenverlag heißt es zu der Panne: "Die zwecks Aufdeckung einer Sicherheitslücke eingeschleuste Bestell-ID wurde mehrfach validiert und insbesondere gegen schadhafte Codes geprüft und entsprechend gefiltert. Allerdings berücksichtigte der Prüfvorgang nicht, ob die ausgewählte Bestell-ID zum angemeldeten Kundenprofil passte. Als Folge konnten Bestelldaten von fremden Kundenprofilen ausgelesen werden."

Um zukünftig derartige Pannen auszuschließen ist nun hinsichtlich der Zugehörigkeit der Bestellung vor dem Laden eine zusätzlich Prüfung der Bestelldaten installiert worden.

Es heißt, dass der Deutschen Sparkassenverlag den Kundenbereich einen umfassenden Funktionstest unterzogen hat und keine weiteren Sicherheitslücken entdeckt entdeckt habe. Auch wenn überall Datenpannen vorkommen sollte jeder Internet Nutzer sein System bestmöglich vor Übergriffen schützen und hoffen, dass seine Daten nicht von Datenpannen anderer mit betroffen sind.






letzten News

  So schützt man sich wirksam vor DDoS-Attacken wenn der Server den Dienst versagt
  Schaedlinge im Netz So wird trotzdem sicher gesurft
  Gefahren aus dem Internet erkennen und vorbeugen
  Navigationsgeraete werden zunehmend von Smartphone und Tablet PC abgeloest
  Panda Cloud Fusion bietet ganzheitliche IT Security

Kommentar:
Kommentare werden erst geprüft und dann freigeschaltet.

erlaubter HTML Code:
<b> <i> <em> <br> <strong> <blockquote> <tt> <li> <ol> <ul>
Security Code Security Code
  VIREN TICKER
weitere Informationen:
Micro World
Agnitum