• IT-Karriere:
  • Services:

Sicherheitslücke: Datenleck bei Gewinnspielen der Funke Mediengruppe

Ein klassischer Fehler führte zu einem Datenleck bei einem Gewinnspielportal. Betroffen sind 85.000 Teilnehmer.

Artikel veröffentlicht am ,
Ein Browser-Memory-Gewinnspiel auf Funke.fun
Ein Browser-Memory-Gewinnspiel auf Funke.fun (Bild: Funke.fun/Screenshot: Golem.de)

Die Funke Mediengruppe gibt nicht nur diverse Fernseh- und Frauenmagazine wie Hörzu, TV Digital und Donna heraus, sondern betreibt auch ein Gewinnspielportal unter der Webadresse Funke.fun. Die dort eingegebenen Daten konnten jedoch von Dritten abgefragt werden. Insgesamt sind nach Angaben der Funke Mediengruppe 85.000 Personen betroffen.

Stellenmarkt
  1. MVV EnergySolutions GmbH, Mannheim
  2. Universitätsklinikum Tübingen, Tübingen

Um an einem Gewinnspiel auf der Funke-Webseite teilzunehmen, muss meist ein Browserspiel absolviert und persönliche Daten in ein Formular eingetragen werden. Neben Name, Adresse und E-Mail-Adresse, die verpflichtend angegeben werden müssen, können auch Geburtsdatum und Telefonnummer in ein Formular eingetragen werden.

ID in der URL führte zu fremden Daten

Neben der Aussicht auf einen möglichen Gewinn erhielten die Gewinnspielteilnehmenden zudem eine Prämie wie ein Probeabo einer Zeitschrift oder eine Kreditkarte mit Startguthaben. Diese konnte auf der Teilnahmebestätigungsseite des Gewinnspiels über den Dienstleister Sovendus bestellt werden. Die entsprechenden Felder für Name und Adresse waren bereits mit den beim Gewinnspiel angegebenen Daten vorausgefüllt.

Die URL der Bestätigungsseite endete jedoch mit einer ID, die einfach heruntergezählt werden konnte, beispielsweise von 4444001 auf 4444000. Anschließend wurden die Daten von anderen Gewinnspielteilnehmenden in den entsprechenden Prämienfeldern angezeigt. Derartige Lücken werden auch als Insecure Direct Object Reference (IDOR) bezeichnet.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Eine Abfrage hätte sich leicht per Skript automatisieren lassen, berichtet das Computermagazin C't, das von einem Leser auf das Problem aufmerksam gemacht wurde. Ein solches hätte einfach die ID herunterzählen und den Datenblock am Ende der Webseite auslesen müssen - ein Problem der Funke-Webseite und nicht der Sovendus-Einbindung.

Auf diese Weise hätten nach einer Schätzung der C't 1,45 Millionen Datensätze von der Webseite kopiert werden können. Das Computermagazin machte den Datenschutzbeauftragten der Funke Mediengruppe auf das Problem aufmerksam. Kurze Zeit später waren die URLs mit den IDs nicht mehr zu erreichen, das Problem wurde behoben.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

IDs in den URLs dürfen nicht aufgezählt werden

Laut der Funke Mediengruppe waren jedoch nur 85.664 unterschiedliche Personen betroffen, da insbesondere bei einem Adventskalender-Gewinnspiel in der Vorweihnachtszeit etliche Personen an mehreren Gewinnspielen teilgenommen hätten. Funke hat den Vorfall bereits an die Berliner Landesdatenschutzbeauftragte gemeldet und will die Betroffenen informieren.

Das Problem, eine fortlaufende ID für Datensätze in URLs zu verwenden, ist ein Klassiker. Immer wieder lassen sich darüber Daten abgreifen.

Dasselbe Problem entdeckte beispielsweise die Sicherheitsfirma Modzero bei der Corona-Kontaktliste von Lunchgate, bei der Restaurantbesucher ihre Daten über einen QR-Code in einer Datenbank hinterlegen konnten, um im Falle einer möglichen Corona-Infektion kontaktierbar zu sein. Auch hier ließen sich die Daten von anderen Restaurantbesuchern über eine Anpassung der ID ausgeben. Das Problem wurde behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 32,02€ (Vergleichspreis ca. 45€)
  2. 26,99€ (Bestpreis mit Amazon)
  3. 26,99€ (Bestpreis mit Saturn)
  4. 149,90€ + 5,99€ Versand bei Vorkasse (Vergleichspreis 171,94€ inkl. Versand)

ayngush 01. Mär 2021 / Themenstart

Solche absoluten Aussagen ... Natürlich kann man das machen, man muss dann jedoch die...

gunterkoenigsmann 01. Mär 2021 / Themenstart

Irgendwann hieß es: "data is a toxic asset", also, dass man es sich nicht leisten kann...

Kommentieren


Folgen Sie uns
       


Polestar 2 Probe gefahren

Wir sind mit dem Polestar 2 eine längere Strecke gefahren und waren von dem Elektroauto von Volvo angetan.

Polestar 2 Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /