Sicherheitslücke: Datenleck bei Gewinnspielen der Funke Mediengruppe

Ein klassischer Fehler führte zu einem Datenleck bei einem Gewinnspielportal. Betroffen sind 85.000 Teilnehmer.

Artikel veröffentlicht am ,
Ein Browser-Memory-Gewinnspiel auf Funke.fun
Ein Browser-Memory-Gewinnspiel auf Funke.fun (Bild: Funke.fun/Screenshot: Golem.de)

Die Funke Mediengruppe gibt nicht nur diverse Fernseh- und Frauenmagazine wie Hörzu, TV Digital und Donna heraus, sondern betreibt auch ein Gewinnspielportal unter der Webadresse Funke.fun. Die dort eingegebenen Daten konnten jedoch von Dritten abgefragt werden. Insgesamt sind nach Angaben der Funke Mediengruppe 85.000 Personen betroffen.

Stellenmarkt
  1. Full Stack Java Software-Entwickler (m/w/d)
    NOVENTI Health SE, verschiedene Standorte (Home-Office möglich)
  2. Data Engineer (m/f/d)
    Lidl Digital, Berlin, Neckarsulm
Detailsuche

Um an einem Gewinnspiel auf der Funke-Webseite teilzunehmen, muss meist ein Browserspiel absolviert und persönliche Daten in ein Formular eingetragen werden. Neben Name, Adresse und E-Mail-Adresse, die verpflichtend angegeben werden müssen, können auch Geburtsdatum und Telefonnummer in ein Formular eingetragen werden.

ID in der URL führte zu fremden Daten

Neben der Aussicht auf einen möglichen Gewinn erhielten die Gewinnspielteilnehmenden zudem eine Prämie wie ein Probeabo einer Zeitschrift oder eine Kreditkarte mit Startguthaben. Diese konnte auf der Teilnahmebestätigungsseite des Gewinnspiels über den Dienstleister Sovendus bestellt werden. Die entsprechenden Felder für Name und Adresse waren bereits mit den beim Gewinnspiel angegebenen Daten vorausgefüllt.

Die URL der Bestätigungsseite endete jedoch mit einer ID, die einfach heruntergezählt werden konnte, beispielsweise von 4444001 auf 4444000. Anschließend wurden die Daten von anderen Gewinnspielteilnehmenden in den entsprechenden Prämienfeldern angezeigt. Derartige Lücken werden auch als Insecure Direct Object Reference (IDOR) bezeichnet.

Golem Akademie
  1. Kotlin für Java-Entwickler: virtueller Zwei-Tage-Workshop
    14.–15. Oktober 2021, Virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
Weitere IT-Trainings

Eine Abfrage hätte sich leicht per Skript automatisieren lassen, berichtet das Computermagazin C't, das von einem Leser auf das Problem aufmerksam gemacht wurde. Ein solches hätte einfach die ID herunterzählen und den Datenblock am Ende der Webseite auslesen müssen - ein Problem der Funke-Webseite und nicht der Sovendus-Einbindung.

Auf diese Weise hätten nach einer Schätzung der C't 1,45 Millionen Datensätze von der Webseite kopiert werden können. Das Computermagazin machte den Datenschutzbeauftragten der Funke Mediengruppe auf das Problem aufmerksam. Kurze Zeit später waren die URLs mit den IDs nicht mehr zu erreichen, das Problem wurde behoben.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

IDs in den URLs dürfen nicht aufgezählt werden

Laut der Funke Mediengruppe waren jedoch nur 85.664 unterschiedliche Personen betroffen, da insbesondere bei einem Adventskalender-Gewinnspiel in der Vorweihnachtszeit etliche Personen an mehreren Gewinnspielen teilgenommen hätten. Funke hat den Vorfall bereits an die Berliner Landesdatenschutzbeauftragte gemeldet und will die Betroffenen informieren.

Das Problem, eine fortlaufende ID für Datensätze in URLs zu verwenden, ist ein Klassiker. Immer wieder lassen sich darüber Daten abgreifen.

Dasselbe Problem entdeckte beispielsweise die Sicherheitsfirma Modzero bei der Corona-Kontaktliste von Lunchgate, bei der Restaurantbesucher ihre Daten über einen QR-Code in einer Datenbank hinterlegen konnten, um im Falle einer möglichen Corona-Infektion kontaktierbar zu sein. Auch hier ließen sich die Daten von anderen Restaurantbesuchern über eine Anpassung der ID ausgeben. Das Problem wurde behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Fire TV Stick 4K Max im Test
Amazons bisher bester Streaming-Stick

Viel Streaming-Leistung für wenig Geld - das liefert der neue Fire TV Stick 4K Max. Es ist ganz klar Amazons bisher bester Streaming-Stick.
Ein Test von Ingo Pakalski

Fire TV Stick 4K Max im Test: Amazons bisher bester Streaming-Stick
Artikel
  1. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  2. Steam: Landwirtschafts-Simulator 22 schlägt Battlefield 2042
    Steam
    Landwirtschafts-Simulator 22 schlägt Battlefield 2042

    Bessere Wertung, höhere Verkaufszahlen und mehr Multiplayer: Auf Steam gewinnt Landwirtschafts-Simulator 22 haushoch gegen Battlefield 2042.

  3. Rupost Corporate Mail: Russland arbeitet an Ersatz für Microsoft Exchange
    Rupost Corporate Mail
    Russland arbeitet an Ersatz für Microsoft Exchange

    Astra wird 2022 für russische Behörden Rupost als Exchange-Ersatz bringen. Das Land will komplett von Microsoft weg - inklusive Windows.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • Nur noch heute bis 50% auf Amazon-Geräte • 3 für 2: Star Wars & Marvel • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /