![]() |
Stellenmarkt
Softwareintegrator Runtime-Platform (m/w)
C-/C++-Software-Entwickler Junior / Senior (m/w)
Senior embedded Softwaredeveloper (m/w) Verwandte ThemenSecurity, Wirtschaft, Internet, CCC, Datenschutz, Studie, Technologie Verwandte ArtikelSchweres Sicherheitsleck bei Meinungsforschungsinstitut eBay-Newsletter enthüllt Nutzerdaten CCC moniert fehlenden Datenschutz bei der Gesundheitskarte Letzte MeldungenSony hofft auf das große Geld mit 3D Weg frei für 4-GByte-Module: Hynix mit 40nm-DRAMs XMLHttpRequest auf dem Weg zum Webstandard Verleiher: Nicht alle Filme auf Blu-ray bieten mehr Qualität Neues Verfahren für Herstellung von OLEDs Fedora setzt Rechte bei Software-Installation zurück Star Trek Online: Kurs auf offene Beta im Januar 2010 Canonical arbeitet für Google an Chrome OS Spieletest: Left 4 Dead 2 - untotes Multiplayergemetzel RFID-Chips machen Metallteile schlau GPL-Programm Fpflac nutzt mehrere Prozessoren CHKDSK-Bug nervt Nutzer von Windows 7 (Update) AOL kündigt 2.500 Mitarbeitern und verkauft MapQuest und ICQ AMD: Nur einige tausend Radeon 5800 pro Woche Kreditkartenumtausch: Banken fordern Entschädigung Call of Duty 6: Wirbel um gesperrte Accounts auf Steam HDMI bekommt aussagekräftige Logos Mozilla steigert Umsatz und Kosten Dell sieht Belebung bei PC-Nachfrage von Firmenkunden Regierung startet Offensive Elektroauto PHP 5.3.1 beseitigt zahlreiche Fehler Dell mit Tintenstrahl-Multifunktionssystemen in Serie Youtube untertitelt Videos per Spracherkennung automatisch LED-Multifunktionsdrucker von Oki Funktioniert trotzdem: Fernbedienung ohne Batterie Haben wir etwas übersehen? Dann Mail an news@golem.de. |
|||||||||||||||||
|
||||||||||||||||||
TNS-Infratest-Datenleck größer als gedachtFehler erlaubte auch die Manipulation fremder Accounts
Durch den Fehler waren vertrauliche Daten über das Mystery-Shopper-Portal des Unternehmens, wo die Testkäufer ihre Eingaben machen, für Unbefugte einsehbar. Wenn diese sich mit Nutzername und Passwort in die TNS-Datenbank einloggten, erhielten sie eine Session-ID, die Teil der URL war. Tauschte einer der Testkäufer diese gegen die fünfstellige ID eines anderen Nutzers aus, bekam er Schreib- und Leserechte für dessen Account.
Zu den Angaben gehören nicht nur Name, Adresse, Geburtsdatum, Handynummer und Bankverbindung. Das Profil umfasst auch Angaben über den Beruf, das Einkommen, die Wohnsituation, Versicherungen, Auto und sogar über Wertgegenstände im Haushalt. Wie Spiegel Online berichtete, waren die Angaben der Mystery-Shopper nicht nur von anderen Testkäufern einsehbar, sie waren auch beliebig manipulierbar. Die Redaktion beruft sich dabei auf David Ehlers, Geschäftsleiter der Forschungs-GmbH Infratest im Bereich Datenbeschaffung. Laut dessen Angaben habe TNS Infratest/Emnid aber festgestellt, "dass niemand dieses Sicherheitsleck ausgenutzt hat - außer dem Chaos Computer Club (CCC)". Die Hacker hatten das Meinungsforschungsinstitut über den Fehler informiert, woraufhin die Site vom Netz genommen und die Betroffenen gewarnt wurden. Unklar ist laut dem Bericht auch, ob nur die über 40.000 Testkäufer von TNS Infratest betroffen waren. So seien auch Personen, die im Onlineportal MySurvey (früher: MyTNS) registriert sind und dort Marktforschungsfragebögen ausgefüllt haben, in der Mystery-Shopper-Datenbank aufgetaucht. Bis zum Redaktionsschluss dieses Beitrages war von TNS Infratest/Emnid keine Stellungnahme zu erhalten. Der Bundesdatenschutzbeauftragte Peter Schaar beklagte, diese Vorgängen seien kein Einzelfall. Es gebe viele Fälle, bei denen die Session-ID fortlaufend vergeben werde, sagte er Spiegel Online. So sei das Problem bereits bei Webshops und E-Government-Portalen aufgetreten. "Wenn ein Unternehmen ein Sicherheitsleck entdeckt, sollte es per Gesetz dazu verpflichtet sein, die betroffenen Personen selbstständig aufzuklären", sagte er. Gegenwärtig klärten Firmen diesen Fehler nur dann auf, wenn Journalisten ihn öffentlich machten. (asa)
Aktuelle Artikel
Sony hofft auf das große Geld mit 3D
Weg frei für 4-GByte-Module: Hynix mit 40nm-DRAMs
XMLHttpRequest auf dem Weg zum Webstandard
|
||||||||||||||||||

