• IT-Karriere:
  • Services:

Kickstarter: Sicherheitslücke ermöglicht Zugriff auf Projekte

Ein Fehler in den APIs der Webseite Kickstarter ermöglichte den Zugriff auf zahlreiche Projekte, die auf ihre Veröffentlichung warten. Kreditkarten- oder Kontoinformationen seien aber nicht betroffen, sagte das Unternehmen.

Artikel veröffentlicht am ,
Eine Lücke in den APIs von Kickstarter ermöglichte einen Zugriff auf unveröffentlichte Projekte.
Eine Lücke in den APIs von Kickstarter ermöglichte einen Zugriff auf unveröffentlichte Projekte. (Bild: Kickstarter)

Im April 2012 hatte das Unternehmen Kickstarter seine neue Webseite präsentiert. Seitdem standen auch neue APIs zur Nutzung bereit. Dort hatte sich allerdings ein Fehler eingeschlichen, der einen Zugriff auf Informationen zu noch nicht veröffentlichten Projekten ermöglichte. Angaben der jeweiligen Kontoinhaber oder gar Informationen zu Kreditkarten gab die unsichere API jedoch nicht preis, sagte das Unternehmen zum Wall Street Journal, das die Sicherheitslücke aufdeckte und Kickstarter umgehend informierte.

Stellenmarkt
  1. Allianz Lebensversicherungs - AG, Stuttgart
  2. Stiegelmeyer GmbH & Co. KG, Herford

Zuvor war es einem Journalisten des WSJ gelungen, Projektbeschreibungen, Ziele, die geplante Dauer des Spendenaufrufs sowie Ortsangaben oder die jeweilige Kategorie der noch nicht publik gemachten Projekte abzurufen. Kreditkarteninformationen waren deshalb nicht gefährdet, weil finanzielle Transaktionen ausschließlich über Amazon Payments erfolgt. Laut Wall Street Journal konnte der Journalist über 77.000 aktuelle Projekte herunterladen.

Drei Wochen unentdeckt

Der Fehler in der betroffenen API wurde am Freitag, dem 11. Mai 2012 geschlossen, kurz nachdem das WSJ das Unternehmen Kickstarter darüber informierte. Wer noch auf die Daten zugegriffen hat, ist bislang unbekannt. Kickstarter spricht im Unterschied zum WSJ von Zugriffen auf 48 Projekte in drei Wochen, bis die Lücke geschlossen wurde.

"Die Daten unserer Benutzer sind uns immens wichtig", schreibt Kickstarter in einer E-Mail. "Obwohl nur bedingte Informationen durch die Lücke zugänglich gemacht worden sind, ist das völlig inakzeptabel. Wir wollen nochmals betonen, dass auf keinerlei Konto- oder Kreditkarteninformationen zugegriffen werden konnte."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Elite Dangerous für 5,99€, Struggling für 7,25€, Planet Zoo für 21,99€, Planet...
  2. (u. a. XCOM 2 Collection für 16,99€, Bioshock: The Collection für 11,99€, Mafia 3: The...
  3. 14,49€

Folgen Sie uns
       


Xbox Series S ausgepackt

Wir packen beide Konsolen aus und zeigen den Lieferumfang.

Xbox Series S ausgepackt Video aufrufen
    •  /