Abo
  • IT-Karriere:

Sicherheit: Zugang zu 10.000 Kundendaten im ungesicherten Onlineshop

Daten unverschlüsselt im Netz zu speichern, ist bekannterweise nicht sinnvoll. Ein britischer Onlinehandel für Drohnen hat trotzdem Kundendaten, Kreditkarteninformationen und Transaktionen in Klartext abgelegt. Die britische Regierung ist betroffen und verlangt eine Löschung.

Artikel veröffentlicht am ,
Die Einkäufe vieler Kunden wurden unverschlüsselt gespeichert.
Die Einkäufe vieler Kunden wurden unverschlüsselt gespeichert. (Bild: Pixabay.com/CC0 1.0)

Der britische Onlinehändler für Drohnen, Dronesforless.co.uk, hat Kundendaten und Transaktionen in einer komplett unverschlüsselten Form gespeichert. Das Onlinemagazin The Register konnte mehr als 10.000 Kaufbelege einsehen - ohne Passwortabfrage oder andere Sicherheitsmaßnahme. Der Autor des entsprechenden Berichts sagte, dass "sogar Großeltern, die Internet Explorer nutzen", an die Daten herangekommen wären. Datensätze enthalten Informationen wie Geräte, die sich mit der Seite verbunden haben, die letzten vier Zahlen von Kreditkartennummern, deren Besitzer und welche Gegenstände für wie viel Geld gekauft wurden.

Stellenmarkt
  1. XION GmbH, Berlin
  2. Eurowings Aviation GmbH, Köln

Unter den Käufern seien laut The Register ein Polizeibeamter, der sich die Drohne DJI Phantom 3 auf seine Arbeit liefern ließ, ein britischer Stabsoffizier (Major) der Army-Reserve und ein Beamter des britischen Verteidigungsministeriums. Ein Mitglied der National Crime Agency habe sogar seine eigentlich sicher zu haltende berufliche E-Mail-Adresse mit der Endung .gsi.gov.uk für eine Bestellung eingetragen. Sicherlich könnten diese Käufe für die Regierung selbst getätigt worden sein, wahrscheinlicher ist allerdings, dass sich die betroffenen Personen einfach ihre Hobbyartikel direkt auf die Dienststelle bestellt haben.

Daten in Klartext gespeichert

Ein Infosec-Forscher hat sich zu der Sicherheitslücke geäußert: "Diese Informationen sollten in einer (sicheren) Datenbank gespeichert und sollten vor allem nicht in Klartext im Internet gespeichert werden!" Das lässt darauf schließen, dass der Händler seine Daten in einer simplen Textdatei und nicht in einer strukturierten SQL- oder NoSQL-Datenbank gespeichert hat.

Der Händler, der sich nach einer Untersuchung als kanadisches Unternehmen herausstellt, hat The Register keine Antwort oder Stellungnahme gegeben. Derweil hat sich die britische Regierung gemeldet und das Unternehmen aufgefordert, alle öffentlich zugänglichen Daten zu löschen. Wie gut das funktioniert, hat allerdings schon der Cambridge-Analytica-Vorfall und der Umgang mit den Facebook-Nutzerdaten gezeigt - nämlich gar nicht.



Anzeige
Spiele-Angebote
  1. 26,99€
  2. (-75%) 14,99€
  3. 4,19€
  4. (-81%) 3,75€

.02 Cents 10. Apr 2018

Haftung in Deutschland ist auf Schadenersatz beschränkt - das wird sehr eng auf...


Folgen Sie uns
       


Raspberry Pi 4B vorgestellt

Nicht jedem dürften die Änderungen gefallen: Denn zwangsläufig wird auch neues Zubehör fällig.

Raspberry Pi 4B vorgestellt Video aufrufen
Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

LEDs: Schlimmes Flimmern
LEDs
Schlimmes Flimmern

LED-Licht zu Hause oder im Auto leuchtet nur selten völlig konstant. Je nach Frequenz und Intensität kann das Flimmern der Leuchtmittel problematisch sein, für manche Menschen sogar gesundheitsschädlich.
Von Wolfgang Messer

  1. Wissenschaft Schadet LED-Licht unseren Augen?
  2. Straßenbeleuchtung Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
  3. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung

    •  /