Kickstarter Sicherheitslücke ermöglicht Zugriff auf Projekte
Ein Fehler in den APIs der Webseite Kickstarter ermöglichte den Zugriff auf zahlreiche Projekte, die auf ihre Veröffentlichung warten. Kreditkarten- oder Kontoinformationen seien aber nicht betroffen, sagte das Unternehmen.
Im April 2012 hatte das Unternehmen Kickstarter seine neue Webseite präsentiert. Seitdem standen auch neue APIs zur Nutzung bereit. Dort hatte sich allerdings ein Fehler eingeschlichen, der einen Zugriff auf Informationen zu noch nicht veröffentlichten Projekten ermöglichte. Angaben der jeweiligen Kontoinhaber oder gar Informationen zu Kreditkarten gab die unsichere API jedoch nicht preis, sagte das Unternehmen zum Wall Street Journal, das die Sicherheitslücke aufdeckte und Kickstarter umgehend informierte.
Zuvor war es einem Journalisten des WSJ gelungen, Projektbeschreibungen, Ziele, die geplante Dauer des Spendenaufrufs sowie Ortsangaben oder die jeweilige Kategorie der noch nicht publik gemachten Projekte abzurufen. Kreditkarteninformationen waren deshalb nicht gefährdet, weil finanzielle Transaktionen ausschließlich über Amazon Payments erfolgt. Laut Wall Street Journal konnte der Journalist über 77.000 aktuelle Projekte herunterladen.
Drei Wochen unentdeckt
Der Fehler in der betroffenen API wurde am Freitag, dem 11. Mai 2012 geschlossen, kurz nachdem das WSJ das Unternehmen Kickstarter darüber informierte. Wer noch auf die Daten zugegriffen hat, ist bislang unbekannt. Kickstarter spricht im Unterschied zum WSJ von Zugriffen auf 48 Projekte in drei Wochen, bis die Lücke geschlossen wurde.
"Die Daten unserer Benutzer sind uns immens wichtig", schreibt Kickstarter in einer E-Mail. "Obwohl nur bedingte Informationen durch die Lücke zugänglich gemacht worden sind, ist das völlig inakzeptabel. Wir wollen nochmals betonen, dass auf keinerlei Konto- oder Kreditkarteninformationen zugegriffen werden konnte."
Kommentieren