Abo
  • Services:
Anzeige
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben.
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben. (Bild: Conrad)

Onlineshop: Datenpanne bei Conrad.de

Der Onlineshop des Elektronikhändlers Conrad.de war von einer Datenpanne betroffen. Nach Hinweisen eines Kunden und später von Golem.de behob das Unternehmen umgehend die Schwachstelle.

Anzeige

Eine schwere Datenpanne wurde im Onlineshop des Elektronikhändlers Conrad entdeckt. Sie erlaubte den vollen Zugriff auf Kundendaten samt Kontoinformationen. Dazu waren lediglich öffentlich zugängliche Daten nötig. Nachdem Conrad Hinweise eines Kunden und von Golem.de erhielt, wurde die Schwachstelle umgehend geschlossen.

Die Schwachstelle war ein Resultat einer Funktion bei der Registrierung, die eigentlich für die Bequemlichkeit der Kunden sorgen sollte. Der Golem.de-Leser Josef Fröhle entdeckte die Panne durch Zufall, als er für sich ein neues Konto anlegen wollte. Nach der Eingabe seines Namens und der Rechnungsadresse wurde Fröhle darauf hingewiesen, dass ein solches Konto bereits existiert und ob es mit dem bestehenden Konto verknüpft werden soll. Fröhle bestätigte.

Kontoübernahme ohne Passwort

Für die Verifizierung wurde lediglich die E-Mail-Adresse des bestehenden Kontos abgefragt, jedoch nicht das Passwort. Für den Zugang waren also nur öffentlich zugängliche Daten nötig. Das ursprüngliche Konto gehörte Fröhles Vater. Hätte es sich um einen bösartigen Angreifer gehandelt, hätte dieser vollen Zugriff auf das Konto erhalten.

Fröhle wies zunächst Conrad selbst auf den Fehler per E-Mail hin und erhielt eine Ticketnummer. Als Fröhle einige Tage später telefonisch nachfragte, bot ihm ein Mitarbeiter an, händisch ein eigenes Konto für ihn anzulegen. Fröhle lehnte ab, er habe den Mitarbeiter erneut auf die Datenpanne hingewiesen. Daraufhin wurde das von ihm angelegte Zweitkonto gesperrt. Fröhle kontaktierte dann unter anderem auch Golem.de. Nach einem Telefonat mit der Pressestelle wurde uns versichert, dass das Problem untersucht werde, was inzwischen geschehen ist. Conrad bedankte sich in einer E-Mail bei Fröhle und entschuldigte sich für etwaige Missverständnisse.

Unzureichende Sicherheitsprüfungen

Die Panne offenbart mehrere grundsätzliche Probleme vieler Onlinegeschäfte: Zum einen werden die Sicherheit und der Datenschutz nicht in allen Punkten geprüft und stehen auch oftmals in der Prioritätenliste der Systemadministratoren zu weit unten. Die Auswirkungen solcher Schwachstellen werden ebenfalls nicht genauer analysiert. Immerhin hätten Angreifer die Bankverbindungsdaten ihrer Opfer erhalten und das Konto übernehmen können. Im günstigsten Falle hätten geprellte Kunden, Banken und das Unternehmen den Schaden durch unrechtmäßige Bestellungen gehabt.

Nachtrag vom 10. November 2014, 16:45 Uhr

Die Bankverbindungsdaten werden bei Conrad.de wie sonst auch üblich bis auf ein paar Ziffern mit Sternchen überschrieben. Daher können Dritte sie von der Webseite nicht auslesen, wie ursprünglich gemeldet. Wir haben den Artikel entsprechend angepasst.


eye home zur Startseite
Hotohori 11. Nov 2014

Super, jetzt hab ich bei HoH zwei identische Konten mit lediglich unterschiedlicher E...

Hotohori 11. Nov 2014

Und die meisten User denken sich oft nichts weiter dabei und untersuchen das nicht näher. ;)

Hotohori 11. Nov 2014

Account löschen ist leider immer noch viel zu selten möglich. Dabei ist das nun wirklich...

Hotohori 11. Nov 2014

Wer weiß ob die überhaupt einen richtigen Datenschutzbeauftragten haben, der dann auch...

Hotohori 11. Nov 2014

Ja, ich wollte auch schon bei Conrad Kleinigkeiten bestellen und hab es dann doch nie...



Anzeige

Stellenmarkt
  1. DRÄXLMAIER Group, Garching
  2. KKH Kaufmännische Krankenkasse, Hannover
  3. DRÄXLMAIER Group, Vilsbiburg bei Landshut
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Top-Angebote
  1. 5,00€ inkl. Versand über Saturn
  2. 5,00€ inkl. Versand über Saturn
  3. 329,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Open Data

    Thüringen stellt Geodaten kostenfrei zur Verfügung

  2. Whistleblowerin

    Obama begnadigt Chelsea Manning

  3. Stadtnetz

    Straßenbeleuchtung als Wifi-Standort problematisch

  4. Netzsperren

    UK-Regierung könnte Pornozensur willkürlich beschließen

  5. Kartendienst

    Google Maps soll künftig Parksituation anzeigen

  6. PowerVR Series 8XE Plus

    Imgtechs Smartphone-GPUs erhalten ein Leistungsplus

  7. Projekt Quantum

    GPU-Prozess kann Firefox schneller und sicherer machen

  8. TV-Kabelnetz

    Tele Columbus will höhere Datenrate und mobile Conversion

  9. Fingerprinting

    Nutzer lassen sich über Browser hinweg tracken

  10. Raumfahrt

    Chinas erster Raumfrachter Tianzhou 1 ist fertig



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Reverse Engineering: Mehr Spaß mit Amazons Dash-Button
Reverse Engineering
Mehr Spaß mit Amazons Dash-Button

Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Raspberry Pi Compute Module 3 ist verfügbar
  3. Audio Injector Octo Raspberry Pi spielt Surround-Sound

  1. Re: Was macht dann Drillisch?

    Spaghetticode | 07:03

  2. Re: Wir müssen unsere Schreib-Methoden ändern

    Apfelbrot | 06:51

  3. Re: nicht eher O2?

    Spaghetticode | 06:51

  4. Re: Schaden trägt nur der Leser!

    rocketfoxx | 06:31

  5. "Deutschland Lizenz"...

    katze_sonne | 06:19


  1. 06:01

  2. 22:50

  3. 19:05

  4. 17:57

  5. 17:33

  6. 17:00

  7. 16:57

  8. 16:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel