Online-Shop von Quelle mit schwerer Sicherheitslücke

Bestellung auf Kosten anderer mit einfachsten Mitteln. Über Wochen wies der Online-Shop Quelle.de eine Sicherheitslücke auf, durch die man auf Kosten anderer Kunden oder der Quelle-Agenturen Waren bestellen konnte. Das Unternehmen hat das Loch inzwischen gestopft und Strafanzeige gestellt.

11. September 2006 um 11:14 Uhr / Nico Ernst

28 Kommentare News folgen (öffnet im neuen Fenster)

Der Fehler bestand aus einer technischen Lücke, die sich ohne Programmierkenntnisse ausnutzen ließ, wie die Wirtschaftswoche berichtet(öffnet im neuen Fenster) . Ein von dem Blatt als "Hacker" bezeichneter Mann hatte sich bei dem Magazin gemeldet, nachdem er bei Quelle abgeblitzt war: Er wollte dem Unternehmen die von ihm entdeckte Lücke nur gegen Honorar zeigen. Der Trick ist erschreckend simpel. Wenn man bereits Kunde bei Quelle war, aber sein Passwort für die Webseite vergessen hatte, konnte man auch über die Eingabe von Name, Adresse und Geburtsdatum Bestellungen tätigen.

Gab man an dieser Stelle aber die Daten einer Quelle-Agentur ein, erhielt man direkten Zugang zum internen System für die Agenturen. Von dort, so die Wirtschaftswoche, konnte man die Daten der Kunden eines Quelle-Shops einsehen und ändern. Vermutlich durch eine Änderung der Lieferadresse waren so kostenlose Bestellungen möglich. Erleichtert wurde dieses Verfahren noch dadurch, dass die Adressen der Quelle-Agenturen auf der Webseite gelistet waren. Einzig das Geburtsdatum des Inhabers musste man noch in Erfahrung bringen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft-365-Admin werden leicht gemacht

zum Artikel

Karriere Ratgeber: 996: Von Shenzhen ins Silicon Valley und bald nach Berlin? Das Comeback der 72-Stunden-Woche

zum Ratgeber

Seminar: Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop

zum Kurs

E-Learning: Successfully Landing Your New Job - Master Your Next Job Interview (E-learning in English)

zum Kurs

Wie Quelle inzwischen durch eine Pressemitteilung bekannt gab, soll die Verknüpfung zwischen der Passwort-Abfrage und dem internen System inzwischen abgestellt sein, der Fehler sei durch ein Software-Update zustande gekommen und nur eine "kurzzeitige Lücke" gewesen. Laut der Wirtschaftswoche ließ sich die Lücke aber über mehrere Wochen nutzen.

Deshalb hat die KarstadtQuelle AG eigenen Angaben zufolge bereits am 7. August 2006 Strafanzeige wegen eines Schadens von 20.000,- Euro durch fingierte Bestellungen gestellt. Ebenso hoch soll der Wert anderer Bestellungen mit dem Passwort-Trick gewesen sein, die man nicht mehr ausgeliefert hatte. Das Unternehmen will die Kosten selbst tragen, Kunden seien nicht zu Schaden gekommen. Quelle hält an dem Verfahren der Identifizierung durch Adresse und Geburtsdatum fest, bemüht sich aber laut der Wirtschaftswoche auch um ein TÜV-Prüfsiegel für seinen Online-Shop.

Zur Startseite 28 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Test: Quelles PalmOS-Smartphone Xplore G18 mit Macken

PalmOS-Smartphone Xplore G18 im Handy-Format mit integrierter Digitalkamera. Ausgerechnet Quelle überraschte Ende Mai 2004 die Fachwelt mit der Ankündigung, ein PalmOS-Smartphone "für alle" auf dem deutschen Markt anbieten zu wollen. Bislang fristen PalmOS-Smartphones in Deutschland ein Nischendasein, weil sie nicht über die Mobilfunk-Betreiber erhältlich sind. Darum bemüht sich palmOne mit dem Treo 600 vergeblich, während Samsung sein SGH-i500 erneut auf das dritte Quartal 2004 verschieben musste. An diesem Status Quo will Quelle nun rütteln und das unter Universum-Marke laufende PalmOS-Smartphone ab dem 10. Juni 2004 anbieten - für eine Woche sogar zum Aktionspreis. Der Test klärt auf, für wen sich die Anschaffung lohnt und was man von einem der kleinsten PalmOS-Geräte am Markt zu erwarten hat.

Nokia will Firmen im Multimediabereich übernehmen

Interview in der Wirtschaftswoche. Bis Ende 2004 will Nokia den Konzernumbau durch Firmenübernahmen drastisch beschleunigen, um so schneller die Position eines Multimedia-Anbieters zu übernehmen. Nokia-Multimedia-Chef Anssi Vanjoki kündigte derartige Pläne in einem Interview mit der Wirtschaftswoche an.

Mustang GT: Fenders smarte Amps lassen sich einfach kapern

Die Mustang-GT-Verstärker von Fender bieten dank digitaler Emulation toll klingenden Sound, Internetanbindung und eine Bluetooth-Verbindung mit Smartphones. Diese ist offenbar ungesichert, weshalb Gitarristen andere Musik untergejubelt werden kann. Auch Presets sollen sich ändern lassen.

Relevante Themen