calendar
« Okt123456789101112131415161718192021222324252627282930 Dez »

Zugriff auf 350.000 Rechnungen im Sparkasse-Shop

Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.

Eine neue delikate Datenschutz-Lücke erreichte uns am Wochenende. Auf dem Sparkassen-Finanzportal findet sich ein Sparkassen-Shop (”Durchdachte Produkte für Ihre Finanzen”), über den man allerlei Waren kaufen kann. Dazu zählen die Top-Angebote “Star Money 7.0″, das “Update Star Money 7.0″ oder sicherlich besonders begehrte Publikationen wie den “Branchenreport Augenoptiker” als PDF-Ausgabe für 25 Euro. Der Shop wird von der Deutsche Sparkassen Verlag betrieben und auf sparkasse.de eingebunden.

Soweit so gut. Unsere Quelle berichtete, dass man als eingeloggter Nutzer auf alle Rechnungen zugreifen konnte. Möglich machte dies eine Lücke im System. Wenn man sich in der eigenen Bestellhistorie die eigenen Bestellungen anschauen wollte, konnte man über die Änderung einer ID auch jede andere Rechnung im System anschauen. Dazu reichte die Verwendung des Firefox-AddOn Firebug, der den Sourcecode einer Seite anzeigt und damit kann man diesen direkt verändern. Wir brauchten uns nur mit Firebug anzuschauen, welche Zahl hinter dem Button “Details” in der Bestellhistorie übergeben wird und mussten lediglich diese Zahl ändern. Statt “333333″ konnte man sich auch die Rechnung “222222″ anschauen. Das klappte ohne programmieren. Damit hatten wir Zugriff auf fast 350.000 Rechnungen im Sparkassen-Shop!

sparkassen_bugWir probierten durch, was wohl die erste Rechnung im System ist. Die niedrigste Zahl war 001000, dann hatten wir keine Lust mehr, denn 000500 war noch offensichtlich ein Test ohne Bestellinhalt. Die Rechnung mit der Nummer 001000 war aus dem Oktober 2006. Jede Rechnungsnummer zwischen 001000 und der aktuellen Zahl (etwas unter 350.000) klappte und war eine eigene Rechnung.

Was konnte man auf der Rechnung sehen?

Die Rechnung enthielt alle relevanten Informationen, die man in der Regel auf einer solchen vorfindet. Name, Anschrift, gekauftes Produkt, Liefer- und Rechnungsadresse, dazu die Einkaufszeit und die Zahlungsweise. Hier konnte man in der Regel davon ausgehen, dass die Kunden alle bei der Sparkasse sind.

Insofern fanden wir die Zahlungsart (Häufig Bankeinzug), Kontoinhaber, Bankleitzahl und den Name der Bank. Die Kontonummern waren bis auf die letzten vier Zahlen zur Sicherheit geschwärzt. Aber wer konnte von den Entwicklern auch ahnen, dass es anscheinend sehr kleine Orts-Sparkassen gibt, die nur vierstellige Kontonummern haben? Die Sparkasse Holstein Eutin scheint so eine zu sein, wie wir mit einer Suchmaschine verifizieren konnten. Also hatten wir auch Zugriff auf manche komplette Bankdaten.

Wir haben es mangels Interesse nicht verifiziert, aber unsere Quelle sprach davon, dass es auch kein Problem sei, mit Hilfe eines Scripts alle Rechnungen nacheinander bequem herunter zu laden. Die im Shop erworbenen Produkte wie der “Branchenreport Augenoptiker” oder “Star Money 7.0″ sind nicht ganz so heikel wie z.B. die gekauften Bücher in den Libri-Stores. Aber man fragt sich doch, wie es um die allgemeine IT-Sicherheit der Sparkassen gestellt ist, bei denen ich Online-Banking mache, wenn wir Zugriff auf 350.000 Rechnungen in ihrem Shop hatten.

Die Deutscher Sparkassen Verlag GmbH sitzt in Stuttgart. Wir haben sie gestern über die Situation informiert und Zeit zur Behebung der Lücke gegeben. Am späten Nachmittag bekamen wir die Antwort, dass die Lücke behoben sei und uns wurde noch ein Statement für heute versprochen.

*Nach Hinweis kleine Änderung am Anfang gemacht, weil das deutsche Finanzportal nicht vom Deutsche Sparkassen Verlag betrieben wird, die nur den Shop dafür liefern.

von netzpolitik.org Datenschutz, gepostet am Dienstag, 3. November 2009 um 9:00
Aufgrund der Textinhalte könnten folgende Beiträge thematisch zu diesem Beitrag passen:
Stoppt die Vorratsdatenspeicherung! Jetzt klicken & handeln!Willst du auch bei der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien: