![]() |
Stellenmarkt
Mitarbeiter/in Systemmanagement
Infrastruktur-Manager/in
Senior Projektmanager (m/w) bei Healthcare Deutschland NewsletteraboVerwandte ThemenSecurity, Wirtschaft, Internet, CCC, Datenschutz, Studie, Technologie Verwandte ArtikelSchweres Sicherheitsleck bei Meinungsforschungsinstitut eBay-Newsletter enthüllt Nutzerdaten CCC moniert fehlenden Datenschutz bei der Gesundheitskarte Letzte MeldungenBuzz - Google macht Twitter und Facebook Konkurrenz Belkins Powerline-Adapter sollen P1901-kompatibel werden 600 GByte mit 10.000 U/min von Seagate British Library und Microsoft liefern kostenlose E-Books Wenn Sicherheitssoftware zu Sicherheitslücken führt KDE SC 4.4 - Caikaku macht einen großen Schritt Quadriga Games - ein neues deutsches Spielestudio Zoomit: SD-Kartenleser fürs iPhone EA macht weniger Umsatz im Weihnachtsgeschäft Wie geht es weiter mit dem Kindle? Samsung S5620: Handy mit kapazitivem Touchscreen und WLAN Aperture 3 lernt GPS, erkennt Gesichter und bekommt Pinsel Aiptek MobileCinema D25 - Projektor mit DVD und DVB-T Optimus: Grafikkerne im Notebook automatisch umschalten Innenministerium gibt 2 Millionen Euro für Botnetzbekämpfung Dalvik Turbo soll Android dreimal schneller machen Amazons S3 lernt Versionierung Copperlicht - 3D-Engine rendert Quake 3 im Browser EU-Kommission bekennt Farbe zu ACTA Samsung Shark: Drei Mobiltelefone für soziale Netzwerke Kingston profitiert von Preisanstieg bei DRAM und Flash Infocus-Projektoren über Funk auch mit dem Mac ansteuern Tankstellen werden zu Akkuwechselstationen AMD verrät Details zu CPU- und GPU-Kombination Llano Microsoft: Windows 7 hat keine Probleme mit Notebookakkus Flash soll auf Macs bald schneller laufen als unter Windows Speedcommander 13.10 korrigiert Programmfehler Radeon HD 5570 - DirectX-11 auch für Kompakt-PCs Deutsche Telekom greift Kabel Deutschland an (Update) Gallium 3D bringt DirectX für Linux und FreeBSD Haben wir etwas übersehen? Dann Mail an news@golem.de. |
|||||||||||||||||
|
||||||||||||||||||
TNS-Infratest-Datenleck größer als gedachtFehler erlaubte auch die Manipulation fremder Accounts
Durch den Fehler waren vertrauliche Daten über das Mystery-Shopper-Portal des Unternehmens, wo die Testkäufer ihre Eingaben machen, für Unbefugte einsehbar. Wenn diese sich mit Nutzername und Passwort in die TNS-Datenbank einloggten, erhielten sie eine Session-ID, die Teil der URL war. Tauschte einer der Testkäufer diese gegen die fünfstellige ID eines anderen Nutzers aus, bekam er Schreib- und Leserechte für dessen Account.
Zu den Angaben gehören nicht nur Name, Adresse, Geburtsdatum, Handynummer und Bankverbindung. Das Profil umfasst auch Angaben über den Beruf, das Einkommen, die Wohnsituation, Versicherungen, Auto und sogar über Wertgegenstände im Haushalt. Wie Spiegel Online berichtete, waren die Angaben der Mystery-Shopper nicht nur von anderen Testkäufern einsehbar, sie waren auch beliebig manipulierbar. Die Redaktion beruft sich dabei auf David Ehlers, Geschäftsleiter der Forschungs-GmbH Infratest im Bereich Datenbeschaffung. Laut dessen Angaben habe TNS Infratest/Emnid aber festgestellt, "dass niemand dieses Sicherheitsleck ausgenutzt hat - außer dem Chaos Computer Club (CCC)". Die Hacker hatten das Meinungsforschungsinstitut über den Fehler informiert, woraufhin die Site vom Netz genommen und die Betroffenen gewarnt wurden. Unklar ist laut dem Bericht auch, ob nur die über 40.000 Testkäufer von TNS Infratest betroffen waren. So seien auch Personen, die im Onlineportal MySurvey (früher: MyTNS) registriert sind und dort Marktforschungsfragebögen ausgefüllt haben, in der Mystery-Shopper-Datenbank aufgetaucht. Bis zum Redaktionsschluss dieses Beitrages war von TNS Infratest/Emnid keine Stellungnahme zu erhalten. Der Bundesdatenschutzbeauftragte Peter Schaar beklagte, diese Vorgängen seien kein Einzelfall. Es gebe viele Fälle, bei denen die Session-ID fortlaufend vergeben werde, sagte er Spiegel Online. So sei das Problem bereits bei Webshops und E-Government-Portalen aufgetreten. "Wenn ein Unternehmen ein Sicherheitsleck entdeckt, sollte es per Gesetz dazu verpflichtet sein, die betroffenen Personen selbstständig aufzuklären", sagte er. Gegenwärtig klärten Firmen diesen Fehler nur dann auf, wenn Journalisten ihn öffentlich machten. (asa)
Aktuelle Artikel
Buzz - Google macht Twitter und Facebook Konkurrenz
Belkins Powerline-Adapter sollen P1901-kompatibel werden
600 GByte mit 10.000 U/min von Seagate
|
||||||||||||||||||

