Abo
  • Services:
Anzeige
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben.
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben. (Bild: Conrad)

Onlineshop: Datenpanne bei Conrad.de

Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben.
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben. (Bild: Conrad)

Der Onlineshop des Elektronikhändlers Conrad.de war von einer Datenpanne betroffen. Nach Hinweisen eines Kunden und später von Golem.de behob das Unternehmen umgehend die Schwachstelle.

Anzeige

Eine schwere Datenpanne wurde im Onlineshop des Elektronikhändlers Conrad entdeckt. Sie erlaubte den vollen Zugriff auf Kundendaten samt Kontoinformationen. Dazu waren lediglich öffentlich zugängliche Daten nötig. Nachdem Conrad Hinweise eines Kunden und von Golem.de erhielt, wurde die Schwachstelle umgehend geschlossen.

Die Schwachstelle war ein Resultat einer Funktion bei der Registrierung, die eigentlich für die Bequemlichkeit der Kunden sorgen sollte. Der Golem.de-Leser Josef Fröhle entdeckte die Panne durch Zufall, als er für sich ein neues Konto anlegen wollte. Nach der Eingabe seines Namens und der Rechnungsadresse wurde Fröhle darauf hingewiesen, dass ein solches Konto bereits existiert und ob es mit dem bestehenden Konto verknüpft werden soll. Fröhle bestätigte.

Kontoübernahme ohne Passwort

Für die Verifizierung wurde lediglich die E-Mail-Adresse des bestehenden Kontos abgefragt, jedoch nicht das Passwort. Für den Zugang waren also nur öffentlich zugängliche Daten nötig. Das ursprüngliche Konto gehörte Fröhles Vater. Hätte es sich um einen bösartigen Angreifer gehandelt, hätte dieser vollen Zugriff auf das Konto erhalten.

Fröhle wies zunächst Conrad selbst auf den Fehler per E-Mail hin und erhielt eine Ticketnummer. Als Fröhle einige Tage später telefonisch nachfragte, bot ihm ein Mitarbeiter an, händisch ein eigenes Konto für ihn anzulegen. Fröhle lehnte ab, er habe den Mitarbeiter erneut auf die Datenpanne hingewiesen. Daraufhin wurde das von ihm angelegte Zweitkonto gesperrt. Fröhle kontaktierte dann unter anderem auch Golem.de. Nach einem Telefonat mit der Pressestelle wurde uns versichert, dass das Problem untersucht werde, was inzwischen geschehen ist. Conrad bedankte sich in einer E-Mail bei Fröhle und entschuldigte sich für etwaige Missverständnisse.

Unzureichende Sicherheitsprüfungen

Die Panne offenbart mehrere grundsätzliche Probleme vieler Onlinegeschäfte: Zum einen werden die Sicherheit und der Datenschutz nicht in allen Punkten geprüft und stehen auch oftmals in der Prioritätenliste der Systemadministratoren zu weit unten. Die Auswirkungen solcher Schwachstellen werden ebenfalls nicht genauer analysiert. Immerhin hätten Angreifer die Bankverbindungsdaten ihrer Opfer erhalten und das Konto übernehmen können. Im günstigsten Falle hätten geprellte Kunden, Banken und das Unternehmen den Schaden durch unrechtmäßige Bestellungen gehabt.

Nachtrag vom 10. November 2014, 16:45 Uhr

Die Bankverbindungsdaten werden bei Conrad.de wie sonst auch üblich bis auf ein paar Ziffern mit Sternchen überschrieben. Daher können Dritte sie von der Webseite nicht auslesen, wie ursprünglich gemeldet. Wir haben den Artikel entsprechend angepasst.


eye home zur Startseite
Hotohori 11. Nov 2014

Super, jetzt hab ich bei HoH zwei identische Konten mit lediglich unterschiedlicher E...

Hotohori 11. Nov 2014

Und die meisten User denken sich oft nichts weiter dabei und untersuchen das nicht näher. ;)

Hotohori 11. Nov 2014

Account löschen ist leider immer noch viel zu selten möglich. Dabei ist das nun wirklich...

Hotohori 11. Nov 2014

Wer weiß ob die überhaupt einen richtigen Datenschutzbeauftragten haben, der dann auch...

Hotohori 11. Nov 2014

Ja, ich wollte auch schon bei Conrad Kleinigkeiten bestellen und hab es dann doch nie...



Anzeige

Stellenmarkt
  1. ABUS Security-Center GmbH & Co. KG, Affing (bei Augsburg)
  2. Studioline Photostudios GmbH, Kiel
  3. T-Systems International GmbH, Saarbrücken
  4. Daimler AG, Stuttgart


Anzeige
Top-Angebote
  1. 49,97€
  2. 110,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Modulares Smartphone

    Lenovo bringt Moto Z mit Moto Z Play nach Deutschland

  2. Yoga Book

    Lenovos Convertible hat eine Tastatur und doch nicht

  3. Huawei Connect 2016

    Telekom will weltweit zu den größten Cloudanbietern gehören

  4. 20 Jahre Schutzfrist

    EU-Kommission plant das maximale Leistungsschutzrecht

  5. CCP Games

    Eve Online wird ein bisschen kostenlos

  6. Gear S3 im Hands on

    Samsungs neue runde Smartwatch soll drei Tage lang laufen

  7. Geleakte Zugangsdaten

    Der Dropbox-Hack im Jahr 2012 ist wirklich passiert

  8. Forerunner 35

    Garmin zeigt Schnickschnack-freie Sportuhr

  9. Nahverkehr

    Hamburg und Berlin kaufen gemeinsam saubere Busse

  10. Zertifizierungsstelle

    Wosign stellt unberechtigtes Zertifikat für Github aus



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Weltraumforschung: DFKI-Roboter soll auf dem Jupitermond Europa abtauchen
Weltraumforschung
DFKI-Roboter soll auf dem Jupitermond Europa abtauchen
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lernroboter-Test Besser Technik lernen mit drei Freunden

OxygenOS vs. Cyanogenmod im Test: Ein Oneplus Three, zwei Systeme
OxygenOS vs. Cyanogenmod im Test
Ein Oneplus Three, zwei Systeme
  1. Android-Smartphone Update soll Software-Probleme beim Oneplus Three beseitigen
  2. Oneplus Three Update soll Speichermanagement verbessern
  3. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three

Kritische Infrastrukturen: Wenn die USV Kryptowährungen schürft
Kritische Infrastrukturen
Wenn die USV Kryptowährungen schürft
  1. Ripper Geldautomaten-Malware gibt bis zu 40 Scheine aus
  2. Ransomware Trojaner Fantom gaukelt kritisches Windows-Update vor
  3. Livestreams Ein Schuss, ein Tor, ein Trojaner

  1. Re: Geilste Teile ever

    amagol | 03:16

  2. Re: Wer braucht die Telekom?

    GenXRoad | 03:16

  3. Re: Tolle Umweltsünde von Amazon

    amagol | 02:43

  4. Re: Ob die das durchstehen werden?

    Kastenbrot | 02:16

  5. Re: PC Specs: läuft erstaunlich gut

    Thegod | 02:11


  1. 22:19

  2. 20:31

  3. 19:10

  4. 18:55

  5. 18:16

  6. 18:00

  7. 17:59

  8. 17:13


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel