Abo
  • Services:

Datenleck bei Libri.de

Zugriff auf rund 500.000 Rechnungen möglich

Beim Buchgroßhändler Libri, der auch als Dienstleister für rund 1.300 Buchhändler auftritt und deren Onlineshops betreibt, gab es ein Datenleck. Bei Kenntnis der entsprechenden URL war der Abruf von zahlreichen Rechnungen möglich. Dabei genügte es, die fortlaufende Rechnungsnummer auszutauschen.

Artikel veröffentlicht am ,

Ein Leser von Netzpolitik.org stolperte über die URL, unter der Libri seinen Kunden Rechnungen zum Download anbietet. Er tauschte die invoiceId im Link nach dem Muster http://www.libri.de/shop/action/account/invoiceDownload?invoiceId=123456 aus und erhielt eine andere Rechnung. Insgesamt sei so der Zugriff auf rund 500.000 Rechnungen möglich gewesen, schreibt Netzpolitik, die selbst testweise rund 20.000 Rechnungen automatisiert in einer Stunde heruntergeladen haben.

Stellenmarkt
  1. Visteon Electronics Germany GmbH, Karlsruhe
  2. BSH Hausgeräte GmbH, Traunreut

Die Rechnungen enthalten zwar keine Konto- oder Kreditkartendaten, geben aber Auskunft darüber, wer wann welches Buch gekauft hat. Informationen, die sicher nicht jeder unbedingt öffentlich machen will.

Libri hat die Sicherheitslücke derweil beseitigt und verwies gegenüber Netzpolitik.org darauf, dass Kundendaten "nach Analyse der Logfiles nicht in den Umlauf gekommen" sind und auch zu "keinem Zeitpunkt Zahlungsdaten von Kunden betroffen" waren. Zudem gibt Libri an, seine Datensicherheit regelmäßig unter anderem durch den TÜV zu prüfen.

Entsprechend kritisiert Netzpolitik.org den TÜV-Süddeutschland, der Libri das "S@fer-Shopping-Zertifikat" verliehen hat. Unklar ist, ob das Datenleck bei der Prüfung der Datensicherheit übersehen wurde oder erst später auftauchte.



Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. bei Caseking kaufen
  3. 57,99€

M 29. Okt 2009

ISO27001, siehe www.BSI.de.... TüV Saver Shopping ist nicht umsonst, aber verglichen mit...

ISO 9001 29. Okt 2009

Gibs schon - zB DIN EN ISO 9001 (oder jede beliebig andere). Läßt sich IMHO auf Software...

Karl Schlosser 29. Okt 2009

Ich kann mir eine Unzahl Möglichkeiten vorstellen wie die Daten dennoch in Umlauf...

RS 29. Okt 2009

Im Normalfall ist dies Richtig. Ich habe aber bewusst "System" in diesme Zusammenhang...

Wikifan 29. Okt 2009

siehe verlinkten Artikel bei netzpolitik.org


Folgen Sie uns
       


Far Cry 5 - Fazit

Im Fazit zu Far Cry 5 zeigen wir dumme Gegner, schöne Grafik und erklären, wie Ubisoft erneut viel Potenzial verschenkt.

Far Cry 5 - Fazit Video aufrufen
Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

    •  /