Abo
  • Services:
Anzeige
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben.
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben. (Bild: Conrad)

Onlineshop: Datenpanne bei Conrad.de

Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben.
Eine Schwachstelle in Conrads Onlineshop ist inzwischen behoben. (Bild: Conrad)

Der Onlineshop des Elektronikhändlers Conrad.de war von einer Datenpanne betroffen. Nach Hinweisen eines Kunden und später von Golem.de behob das Unternehmen umgehend die Schwachstelle.

Anzeige

Eine schwere Datenpanne wurde im Onlineshop des Elektronikhändlers Conrad entdeckt. Sie erlaubte den vollen Zugriff auf Kundendaten samt Kontoinformationen. Dazu waren lediglich öffentlich zugängliche Daten nötig. Nachdem Conrad Hinweise eines Kunden und von Golem.de erhielt, wurde die Schwachstelle umgehend geschlossen.

Die Schwachstelle war ein Resultat einer Funktion bei der Registrierung, die eigentlich für die Bequemlichkeit der Kunden sorgen sollte. Der Golem.de-Leser Josef Fröhle entdeckte die Panne durch Zufall, als er für sich ein neues Konto anlegen wollte. Nach der Eingabe seines Namens und der Rechnungsadresse wurde Fröhle darauf hingewiesen, dass ein solches Konto bereits existiert und ob es mit dem bestehenden Konto verknüpft werden soll. Fröhle bestätigte.

Kontoübernahme ohne Passwort

Für die Verifizierung wurde lediglich die E-Mail-Adresse des bestehenden Kontos abgefragt, jedoch nicht das Passwort. Für den Zugang waren also nur öffentlich zugängliche Daten nötig. Das ursprüngliche Konto gehörte Fröhles Vater. Hätte es sich um einen bösartigen Angreifer gehandelt, hätte dieser vollen Zugriff auf das Konto erhalten.

Fröhle wies zunächst Conrad selbst auf den Fehler per E-Mail hin und erhielt eine Ticketnummer. Als Fröhle einige Tage später telefonisch nachfragte, bot ihm ein Mitarbeiter an, händisch ein eigenes Konto für ihn anzulegen. Fröhle lehnte ab, er habe den Mitarbeiter erneut auf die Datenpanne hingewiesen. Daraufhin wurde das von ihm angelegte Zweitkonto gesperrt. Fröhle kontaktierte dann unter anderem auch Golem.de. Nach einem Telefonat mit der Pressestelle wurde uns versichert, dass das Problem untersucht werde, was inzwischen geschehen ist. Conrad bedankte sich in einer E-Mail bei Fröhle und entschuldigte sich für etwaige Missverständnisse.

Unzureichende Sicherheitsprüfungen

Die Panne offenbart mehrere grundsätzliche Probleme vieler Onlinegeschäfte: Zum einen werden die Sicherheit und der Datenschutz nicht in allen Punkten geprüft und stehen auch oftmals in der Prioritätenliste der Systemadministratoren zu weit unten. Die Auswirkungen solcher Schwachstellen werden ebenfalls nicht genauer analysiert. Immerhin hätten Angreifer die Bankverbindungsdaten ihrer Opfer erhalten und das Konto übernehmen können. Im günstigsten Falle hätten geprellte Kunden, Banken und das Unternehmen den Schaden durch unrechtmäßige Bestellungen gehabt.

Nachtrag vom 10. November 2014, 16:45 Uhr

Die Bankverbindungsdaten werden bei Conrad.de wie sonst auch üblich bis auf ein paar Ziffern mit Sternchen überschrieben. Daher können Dritte sie von der Webseite nicht auslesen, wie ursprünglich gemeldet. Wir haben den Artikel entsprechend angepasst.


eye home zur Startseite
Hotohori 11. Nov 2014

Super, jetzt hab ich bei HoH zwei identische Konten mit lediglich unterschiedlicher E...

Hotohori 11. Nov 2014

Und die meisten User denken sich oft nichts weiter dabei und untersuchen das nicht näher. ;)

Hotohori 11. Nov 2014

Account löschen ist leider immer noch viel zu selten möglich. Dabei ist das nun wirklich...

Hotohori 11. Nov 2014

Wer weiß ob die überhaupt einen richtigen Datenschutzbeauftragten haben, der dann auch...

Hotohori 11. Nov 2014

Ja, ich wollte auch schon bei Conrad Kleinigkeiten bestellen und hab es dann doch nie...



Anzeige

Stellenmarkt
  1. Mobile Collaboration GmbH, Ettlingen
  2. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden
  3. Daimler AG, Böblingen
  4. Daimler AG, Sindelfingen


Anzeige
Top-Angebote
  1. 147,89€ (Vergleichspreis ab 219€)
  2. 79,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Bundesnetzagentur

    Puppenverbot gefährdet das Smart Home und Bastler

  2. Amazon Fire TV

    Die Rückkehr der Prime-Banderole

  3. Fire TV Stick 2 mit Alexa im Hands on

    Amazons attraktiver Einstieg in die Streaming-Welt

  4. Snap Spectacles

    Snap verkauft Sonnenbrille mit Kamera für 130 US-Dollar

  5. Status-Updates

    Whatsapp greift mit vergänglichem Status Snapchat an

  6. Megaupload

    Dotcom droht bei Auslieferung volle Anklage in den USA

  7. PC-Markt

    Unternehmen geben deutschen PC-Käufen einen Schub

  8. Ungepatchte Sicherheitslücke

    Google legt sich erneut mit Microsoft an

  9. Torus

    CoreOS gibt weitere Eigenentwicklung auf

  10. Hololens

    Verbesserte AR-Brille soll nicht vor 2019 kommen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. US-Präsident Zuck it, Trump!
  2. Begnadigung Danke, Chelsea Manning!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

Apple: Planet der affigen Fernsehshows
Apple
Planet der affigen Fernsehshows
  1. Streaming Vodafone GigaTV ermöglicht Fernsehen unterwegs
  2. Kabelnetz Unitymedia hat neue Preise für Internetzugänge
  3. Deutsche TV-Plattform über VR "Ein langer Weg vom Wow-Effekt zum dauerhaften Format"

Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

  1. Jemand mit der ersten Generation hier?

    ckerazor | 08:56

  2. Re: Was sagt eigentlich der Bundesrechnungshof dazu?

    gadthrawn | 08:56

  3. Re: Was wollte er denn damit?

    Strongground | 08:55

  4. Re: Stromversorgung

    gadthrawn | 08:52

  5. Re: Rechenleistung bei Streams beim Stick der...

    XDKOwner | 08:52


  1. 09:06

  2. 08:05

  3. 08:00

  4. 07:27

  5. 07:12

  6. 18:33

  7. 17:38

  8. 16:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel