Online-Shop von Quelle mit schwerer Sicherheitslücke

Bestellung auf Kosten anderer mit einfachsten Mitteln

Über Wochen wies der Online-Shop Quelle.de eine Sicherheitslücke auf, durch die man auf Kosten anderer Kunden oder der Quelle-Agenturen Waren bestellen konnte. Das Unternehmen hat das Loch inzwischen gestopft und Strafanzeige gestellt.

Artikel veröffentlicht am ,

Der Fehler bestand aus einer technischen Lücke, die sich ohne Programmierkenntnisse ausnutzen ließ, wie die Wirtschaftswoche berichtet. Ein von dem Blatt als "Hacker" bezeichneter Mann hatte sich bei dem Magazin gemeldet, nachdem er bei Quelle abgeblitzt war: Er wollte dem Unternehmen die von ihm entdeckte Lücke nur gegen Honorar zeigen. Der Trick ist erschreckend simpel. Wenn man bereits Kunde bei Quelle war, aber sein Passwort für die Webseite vergessen hatte, konnte man auch über die Eingabe von Name, Adresse und Geburtsdatum Bestellungen tätigen.

Stellenmarkt
  1. CRM Application Manager (m/w/d)
    Getriebebau NORD GmbH & Co. KG, Bargteheide
  2. Product Owner (w/m/d) Industrie 4.0/IoT
    ORGATEX GmbH & Co. KG, Langenfeld
Detailsuche

Gab man an dieser Stelle aber die Daten einer Quelle-Agentur ein, erhielt man direkten Zugang zum internen System für die Agenturen. Von dort, so die Wirtschaftswoche, konnte man die Daten der Kunden eines Quelle-Shops einsehen und ändern. Vermutlich durch eine Änderung der Lieferadresse waren so kostenlose Bestellungen möglich. Erleichtert wurde dieses Verfahren noch dadurch, dass die Adressen der Quelle-Agenturen auf der Webseite gelistet waren. Einzig das Geburtsdatum des Inhabers musste man noch in Erfahrung bringen.

Wie Quelle inzwischen durch eine Pressemitteilung bekannt gab, soll die Verknüpfung zwischen der Passwort-Abfrage und dem internen System inzwischen abgestellt sein, der Fehler sei durch ein Software-Update zustande gekommen und nur eine "kurzzeitige Lücke" gewesen. Laut der Wirtschaftswoche ließ sich die Lücke aber über mehrere Wochen nutzen.

Deshalb hat die KarstadtQuelle AG eigenen Angaben zufolge bereits am 7. August 2006 Strafanzeige wegen eines Schadens von 20.000,- Euro durch fingierte Bestellungen gestellt. Ebenso hoch soll der Wert anderer Bestellungen mit dem Passwort-Trick gewesen sein, die man nicht mehr ausgeliefert hatte. Das Unternehmen will die Kosten selbst tragen, Kunden seien nicht zu Schaden gekommen. Quelle hält an dem Verfahren der Identifizierung durch Adresse und Geburtsdatum fest, bemüht sich aber laut der Wirtschaftswoche auch um ein TÜV-Prüfsiegel für seinen Online-Shop.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


duden 11. Sep 2006

rapide oder rabiat ?

oli_s 11. Sep 2006

Naja, außer mir gehts nicht um die Ware, sondern darum jemand Scherereien zu machen...

Turok 11. Sep 2006

Das halte ich nun wiederum für weit hergeholt. Fahrlässigkeit könnte man dem Unternehmen...

Venkie 11. Sep 2006

Intershop von der Stange? Dude, wake up, the 90's are over... Heute kannste locker die...

jojojij2 11. Sep 2006

toll schön zu wissen.. das man gegen sowas rechtlich nichts machen kann? hammer. aber...



Aktuell auf der Startseite von Golem.de
Akkutechnik
Lithiumknappheit führt zu Rekordpreisen

Preise steigen in einem Jahr von Rekordtief auf Rekordhoch. Das Angebot hält mit unerwartet hoher Nachfrage nach Lithium-Ionen-Akkus nicht mit.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: Lithiumknappheit führt zu Rekordpreisen
Artikel
  1. Telekom: Firmen wollen private 5G-Netze gar nicht selbst betreiben
    Telekom
    Firmen wollen private 5G-Netze "gar nicht selbst betreiben"

    Laut Telekom wollen die Firmen in Deutschland ihre über 110 5G-Campusnetze nicht selbst führen. Doch es gibt auch andere Darstellungen.

  2. Smartphone-App: Digitaler Führerschein leidet unter enormen Schwierigkeiten
    Smartphone-App
    Digitaler Führerschein leidet unter enormen Schwierigkeiten

    Mit dem großen Andrang habe das Kraftfahrt-Bundesamt nicht gerechnet. Nun ist die App kaputt. Ein Update soll es richten.

  3. Blizzard: Reger Handel mit Gegenständen aus Diablo 2 Resurrected
    Blizzard
    Reger Handel mit Gegenständen aus Diablo 2 Resurrected

    Besonders mächtige Ausrüstung aus Diablo 2 Resurrected wird auf Auktionsbörsen gehandelt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 7 Tage Samsung-Angebote bei Amazon (u. a. SSDs, Monitore, TVs) • Samsung G5 32" Curved WQHD 144Hz 265€ • Räumungsverkauf bei MediaMarkt • Nur noch heute: Black Week bei NBB • Acer Nitro 23,8" FHD 165Hz 184,90€ • Alternate (u. a. Cooler Master Gaming-Headset 59,90€) [Werbung]
    •  /