Abo
  • Services:
Anzeige
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben.
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben. (Bild: Conrad)

Onlineshop: Datenpanne bei Conrad.de

Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben.
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben. (Bild: Conrad)

Der Onlineshop des Elektronikhändlers Conrad.de war von einer Datenpanne betroffen. Nach Hinweisen eines Kunden und später von Golem.de behob das Unternehmen umgehend die Schwachstelle.

Anzeige

Eine schwere Datenpanne wurde im Onlineshop des Elektronikhändlers Conrad entdeckt. Sie erlaubte den vollen Zugriff auf Kundendaten samt Kontoinformationen. Dazu waren lediglich öffentlich zugängliche Daten nötig. Nachdem Conrad Hinweise eines Kunden und von Golem.de erhielt, wurde die Schwachstelle umgehend geschlossen.

Die Schwachstelle war ein Resultat einer Funktion bei der Registrierung, die eigentlich für die Bequemlichkeit der Kunden sorgen sollte. Der Golem.de-Leser Josef Fröhle entdeckte die Panne durch Zufall, als er für sich ein neues Konto anlegen wollte. Nach der Eingabe seines Namens und der Rechnungsadresse wurde Fröhle darauf hingewiesen, dass ein solches Konto bereits existiert und ob es mit dem bestehenden Konto verknüpft werden soll. Fröhle bestätigte.

Kontoübernahme ohne Passwort

Für die Verifizierung wurde lediglich die E-Mail-Adresse des bestehenden Kontos abgefragt, jedoch nicht das Passwort. Für den Zugang waren also nur öffentlich zugängliche Daten nötig. Das ursprüngliche Konto gehörte Fröhles Vater. Hätte es sich um einen bösartigen Angreifer gehandelt, hätte dieser vollen Zugriff auf das Konto erhalten.

Fröhle wies zunächst Conrad selbst auf den Fehler per E-Mail hin und erhielt eine Ticketnummer. Als Fröhle einige Tage später telefonisch nachfragte, bot ihm ein Mitarbeiter an, händisch ein eigenes Konto für ihn anzulegen. Fröhle lehnte ab, er habe den Mitarbeiter erneut auf die Datenpanne hingewiesen. Daraufhin wurde das von ihm angelegte Zweitkonto gesperrt. Fröhle kontaktierte dann unter anderem auch Golem.de. Nach einem Telefonat mit der Pressestelle wurde uns versichert, dass das Problem untersucht werde, was inzwischen geschehen ist. Conrad bedankte sich in einer E-Mail bei Fröhle und entschuldigte sich für etwaige Missverständnisse.

Unzureichende Sicherheitsprüfungen

Die Panne offenbart mehrere grundsätzliche Probleme vieler Onlinegeschäfte: Zum einen werden die Sicherheit und der Datenschutz nicht in allen Punkten geprüft und stehen auch oftmals in der Prioritätenliste der Systemadministratoren zu weit unten. Die Auswirkungen solcher Schwachstellen werden ebenfalls nicht genauer analysiert. Immerhin hätten Angreifer die Bankverbindungsdaten ihrer Opfer erhalten und das Konto übernehmen können. Im günstigsten Falle hätten geprellte Kunden, Banken und das Unternehmen den Schaden durch unrechtmäßige Bestellungen gehabt.

Nachtrag vom 10. November 2014, 16:45 Uhr

Die Bankverbindungsdaten werden bei Conrad.de wie sonst auch üblich bis auf ein paar Ziffern mit Sternchen überschrieben. Daher können Dritte sie von der Webseite nicht auslesen, wie ursprünglich gemeldet. Wir haben den Artikel entsprechend angepasst.

eye home zur Startseite
Kommentarübersicht
Re: betrifft das auch andere Online Shops ...
Hotohori 11. Nov 2014

Super, jetzt hab ich bei HoH zwei identische Konten mit lediglich unterschiedlicher E...

Re: Das Forum hier hat auch seine Schwachstellen.
Hotohori 11. Nov 2014

Und die meisten User denken sich oft nichts weiter dabei und untersuchen das nicht näher. ;)

Re: Account löschen bei Conrad unmöglich!
Hotohori 11. Nov 2014

Account löschen ist leider immer noch viel zu selten möglich. Dabei ist das nun wirklich...

Re: Und zum Dank bekommt Herr Fröhle
Hotohori 11. Nov 2014

Wer weiß ob die überhaupt einen richtigen Datenschutzbeauftragten haben, der dann auch...

Re: Alleinstellungsmerkmal von Conrad
Hotohori 11. Nov 2014

Ja, ich wollte auch schon bei Conrad Kleinigkeiten bestellen und hab es dann doch nie...

Anzeige
Stellenmarkt
  1. via Harvey Nash GmbH, Frankfurt
  2. INTERBODEN Innovative Lebenswelten® GmbH & Co KG, Ratingen
  3. Hella Gutmann Solutions GmbH, Ihringen
  4. OEDIV KG, Bielefeld
Anzeige
Blu-ray-Angebote
  1. 38,49€ (Vorbesteller-Preisgarantie)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
Folgen Sie uns
       
Videos
Airblock-Drohne - Test Airblock-Drohne - Test
Ticker
  1. Wolfenstein 2 angespielt

    Stahlskelett und Erdbeermilch

  2. Streaming

    Facebooks TV-Shows sollen im August starten

  3. Geldwäsche

    Mutmaßlicher Betreiber von BTC-e angeklagt und festgenommen

  4. HTC

    Das Vive Standalone erscheint in China

  5. New Nintendo 2DS XL im Test

    Schwaches Hardware-Finale

  6. Playerunknown's Battlegrounds

    Mikrotransaktionen führen zu Aufruhr bei Fans

  7. IT-Sicherheit

    Microsoft will Hinweise auf Sicherheitslücken in Windows

  8. Elon Musk

    The Boring Company präsentiert Autoaufzug

  9. Redstone 3

    "Hey Cortana, schalte meinen PC aus"

  10. Pro 7 und Pro 7 Plus

    Meizu präsentiert Smartphones mit rückseitigem Zusatzdisplay

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Indiegames
Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie
Audio/Video
Poets One im Test: Kleiner Preamp, großer Sound
Poets One im Test
Kleiner Preamp, großer Sound
  1. Dunkirk Interstellar-Regisseur setzt weiter auf 70mm statt 4K
  2. Umfrage Viele wollen weg von DVB-T2
  3. DVB-T2 Freenet TV will wohl auch über Astra ausstrahlen
Onlineshop
Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland
Forumsbeiträge »
  1. IT-Sicherheit Microsoft will Hinweise auf Sicherheitslücken in Windows

    Re: wenn sie Urheber der ersten externen...

    Jakelandiar | 14:26

  2. Elon Musk The Boring Company präsentiert Autoaufzug

    Re: Autozüge

    DAUVersteher | 14:24

  3. Elon Musk The Boring Company präsentiert Autoaufzug

    Re: Eigentlich keine schlechte Idee

    blubby666 | 14:23

  4. Redstone 3 "Hey Cortana, schalte meinen PC aus"

    Re: Im Großraumbüro...

    Bouncy | 14:23

  5. Redstone 3 "Hey Cortana, schalte meinen PC aus"

    Re: Bild zum Artikel

    on(Golem.de) | 14:19

Ticker »
  1. Wolfenstein 2 angespielt Stahlskelett und Erdbeermilch

    14:10

  2. Streaming Facebooks TV-Shows sollen im August starten

    13:36

  3. Geldwäsche Mutmaßlicher Betreiber von BTC-e angeklagt und festgenommen

    13:21

  4. HTC Das Vive Standalone erscheint in China

    12:27

  5. New Nintendo 2DS XL im Test Schwaches Hardware-Finale

    12:03

  6. Playerunknown's Battlegrounds Mikrotransaktionen führen zu Aufruhr bei Fans

    11:54

  7. IT-Sicherheit Microsoft will Hinweise auf Sicherheitslücken in Windows

    11:24

  8. Elon Musk The Boring Company präsentiert Autoaufzug

    11:06

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel