Abo
  • Services:
Anzeige
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben.
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben. (Bild: Conrad)

Onlineshop: Datenpanne bei Conrad.de

Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben.
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben. (Bild: Conrad)

Der Onlineshop des Elektronikhändlers Conrad.de war von einer Datenpanne betroffen. Nach Hinweisen eines Kunden und später von Golem.de behob das Unternehmen umgehend die Schwachstelle.

Anzeige

Eine schwere Datenpanne wurde im Onlineshop des Elektronikhändlers Conrad entdeckt. Sie erlaubte den vollen Zugriff auf Kundendaten samt Kontoinformationen. Dazu waren lediglich öffentlich zugängliche Daten nötig. Nachdem Conrad Hinweise eines Kunden und von Golem.de erhielt, wurde die Schwachstelle umgehend geschlossen.

Die Schwachstelle war ein Resultat einer Funktion bei der Registrierung, die eigentlich für die Bequemlichkeit der Kunden sorgen sollte. Der Golem.de-Leser Josef Fröhle entdeckte die Panne durch Zufall, als er für sich ein neues Konto anlegen wollte. Nach der Eingabe seines Namens und der Rechnungsadresse wurde Fröhle darauf hingewiesen, dass ein solches Konto bereits existiert und ob es mit dem bestehenden Konto verknüpft werden soll. Fröhle bestätigte.

Kontoübernahme ohne Passwort

Für die Verifizierung wurde lediglich die E-Mail-Adresse des bestehenden Kontos abgefragt, jedoch nicht das Passwort. Für den Zugang waren also nur öffentlich zugängliche Daten nötig. Das ursprüngliche Konto gehörte Fröhles Vater. Hätte es sich um einen bösartigen Angreifer gehandelt, hätte dieser vollen Zugriff auf das Konto erhalten.

Fröhle wies zunächst Conrad selbst auf den Fehler per E-Mail hin und erhielt eine Ticketnummer. Als Fröhle einige Tage später telefonisch nachfragte, bot ihm ein Mitarbeiter an, händisch ein eigenes Konto für ihn anzulegen. Fröhle lehnte ab, er habe den Mitarbeiter erneut auf die Datenpanne hingewiesen. Daraufhin wurde das von ihm angelegte Zweitkonto gesperrt. Fröhle kontaktierte dann unter anderem auch Golem.de. Nach einem Telefonat mit der Pressestelle wurde uns versichert, dass das Problem untersucht werde, was inzwischen geschehen ist. Conrad bedankte sich in einer E-Mail bei Fröhle und entschuldigte sich für etwaige Missverständnisse.

Unzureichende Sicherheitsprüfungen

Die Panne offenbart mehrere grundsätzliche Probleme vieler Onlinegeschäfte: Zum einen werden die Sicherheit und der Datenschutz nicht in allen Punkten geprüft und stehen auch oftmals in der Prioritätenliste der Systemadministratoren zu weit unten. Die Auswirkungen solcher Schwachstellen werden ebenfalls nicht genauer analysiert. Immerhin hätten Angreifer die Bankverbindungsdaten ihrer Opfer erhalten und das Konto übernehmen können. Im günstigsten Falle hätten geprellte Kunden, Banken und das Unternehmen den Schaden durch unrechtmäßige Bestellungen gehabt.

Nachtrag vom 10. November 2014, 16:45 Uhr

Die Bankverbindungsdaten werden bei Conrad.de wie sonst auch üblich bis auf ein paar Ziffern mit Sternchen überschrieben. Daher können Dritte sie von der Webseite nicht auslesen, wie ursprünglich gemeldet. Wir haben den Artikel entsprechend angepasst.

eye home zur Startseite
Kommentarübersicht
Re: betrifft das auch andere Online Shops ...
Hotohori 11. Nov 2014

Super, jetzt hab ich bei HoH zwei identische Konten mit lediglich unterschiedlicher E...

Re: Das Forum hier hat auch seine Schwachstellen.
Hotohori 11. Nov 2014

Und die meisten User denken sich oft nichts weiter dabei und untersuchen das nicht näher. ;)

Re: Account löschen bei Conrad unmöglich!
Hotohori 11. Nov 2014

Account löschen ist leider immer noch viel zu selten möglich. Dabei ist das nun wirklich...

Re: Und zum Dank bekommt Herr Fröhle
Hotohori 11. Nov 2014

Wer weiß ob die überhaupt einen richtigen Datenschutzbeauftragten haben, der dann auch...

Re: Alleinstellungsmerkmal von Conrad
Hotohori 11. Nov 2014

Ja, ich wollte auch schon bei Conrad Kleinigkeiten bestellen und hab es dann doch nie...

Anzeige
Stellenmarkt
  1. ING-DiBa AG, Nürnberg
  2. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  3. Rohde & Schwarz Cybersecurity GmbH, Berlin
  4. Allianz Deutschland AG, Stuttgart
Anzeige
Hardware-Angebote
  1. jetzt bei Alternate
  2. täglich neue Deals
Folgen Sie uns
       
Videos
Minecraft Cross Platform Multiplayer - Better Together Minecraft Cross Platform Multiplayer - Better Together
Ticker
  1. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  2. Streaming

    Update für Fire TV bringt Lupenfunktion

  3. Entlassungen

    HPE wird wohl die Mitarbeiterzahl dezimieren

  4. Satellitennavigation

    Neuer Broadcom-Chip macht Ortung per Mobilgerät viel genauer

  5. VR

    Was HTC, Microsoft und Oculus mit Autos zu tun haben

  6. Razer-CEO Tan

    Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

  7. VW-Programm

    Jeder Zehnte tauscht Diesel gegen Elektroantrieb

  8. Spaceborne Computer

    HPEs Weltraumcomputer rechnet mit 1 Teraflops

  9. Unterwegs auf der Babymesse

    "Eltern vibrieren nicht"

  10. Globalfoundries

    AMD nutzt künftig die 12LP-Fertigung

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Lenovo
Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display
Qi
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte
iPhone X
Apples iPhone X in der Analyse: Ein iPhone voller interessanter Herausforderungen
Apples iPhone X in der Analyse
Ein iPhone voller interessanter Herausforderungen
  1. Smartphone Apple könnte iPhone X verspätet ausliefern
  2. Face ID Apple erlaubt nur ein Gesicht pro iPhone X
  3. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
Forumsbeiträge »
  1. Auslastung Wenn es Abend wird im Kabelnetz

    Re: Speedtest Geschummel - Nicht repräsentativ

    b1n0ry | 13:50

  2. Unterwegs auf der Babymesse "Eltern vibrieren nicht"

    Re: hmm brauch man sowas

    atTom | 13:50

  3. Auslastung Wenn es Abend wird im Kabelnetz

    Re: "Vodafone sieht sich nicht betroffen"

    b1n0ry | 13:49

  4. Apple iOS 11 im Test Alte Apps weg, Daten weg, aber sonst alles gut

    Re: Ich glaube 11 war die letzte IOS Version die...

    ckerazor | 13:48

  5. C't-Editorial kopiert Bundeswahlleiter stellt Strafanzeige gegen Brieffälscher

    Re: Wahlprogramm Die PARTEI

    Dwalinn | 13:48

Ticker »
  1. Störerhaftung abgeschafft Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

    13:40

  2. Streaming Update für Fire TV bringt Lupenfunktion

    13:26

  3. Entlassungen HPE wird wohl die Mitarbeiterzahl dezimieren

    12:49

  4. Satellitennavigation Neuer Broadcom-Chip macht Ortung per Mobilgerät viel genauer

    12:36

  5. VR Was HTC, Microsoft und Oculus mit Autos zu tun haben

    12:08

  6. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

    11:30

  7. VW-Programm Jeder Zehnte tauscht Diesel gegen Elektroantrieb

    10:13

  8. Spaceborne Computer HPEs Weltraumcomputer rechnet mit 1 Teraflops

    09:56

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel