Sicherheitslücke: Datenleck bei Gewinnspielen der Funke Mediengruppe

Ein klassischer Fehler führte zu einem Datenleck bei einem Gewinnspielportal. Betroffen sind 85.000 Teilnehmer.

Artikel veröffentlicht am ,
Ein Browser-Memory-Gewinnspiel auf Funke.fun
Ein Browser-Memory-Gewinnspiel auf Funke.fun (Bild: Funke.fun/Screenshot: Golem.de)

Die Funke Mediengruppe gibt nicht nur diverse Fernseh- und Frauenmagazine wie Hörzu, TV Digital und Donna heraus, sondern betreibt auch ein Gewinnspielportal unter der Webadresse Funke.fun. Die dort eingegebenen Daten konnten jedoch von Dritten abgefragt werden. Insgesamt sind nach Angaben der Funke Mediengruppe 85.000 Personen betroffen.

Stellenmarkt
  1. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin am Lehrstuhl für Informatik ... (m/w/d)
    Universität Passau, Passau
  2. Product Lead (f/m/d)
    NEXPLORE Technology GmbH, Essen, Darmstadt, München
Detailsuche

Um an einem Gewinnspiel auf der Funke-Webseite teilzunehmen, muss meist ein Browserspiel absolviert und persönliche Daten in ein Formular eingetragen werden. Neben Name, Adresse und E-Mail-Adresse, die verpflichtend angegeben werden müssen, können auch Geburtsdatum und Telefonnummer in ein Formular eingetragen werden.

ID in der URL führte zu fremden Daten

Neben der Aussicht auf einen möglichen Gewinn erhielten die Gewinnspielteilnehmenden zudem eine Prämie wie ein Probeabo einer Zeitschrift oder eine Kreditkarte mit Startguthaben. Diese konnte auf der Teilnahmebestätigungsseite des Gewinnspiels über den Dienstleister Sovendus bestellt werden. Die entsprechenden Felder für Name und Adresse waren bereits mit den beim Gewinnspiel angegebenen Daten vorausgefüllt.

Die URL der Bestätigungsseite endete jedoch mit einer ID, die einfach heruntergezählt werden konnte, beispielsweise von 4444001 auf 4444000. Anschließend wurden die Daten von anderen Gewinnspielteilnehmenden in den entsprechenden Prämienfeldern angezeigt. Derartige Lücken werden auch als Insecure Direct Object Reference (IDOR) bezeichnet.

Golem Karrierewelt
  1. AZ-500 Microsoft Azure Security Technologies (AZ-500T00): virtueller Vier-Tage-Workshop
    30.01.-02.02.2023, virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    17.-19.01.2023, Virtuell
Weitere IT-Trainings

Eine Abfrage hätte sich leicht per Skript automatisieren lassen, berichtet das Computermagazin C't, das von einem Leser auf das Problem aufmerksam gemacht wurde. Ein solches hätte einfach die ID herunterzählen und den Datenblock am Ende der Webseite auslesen müssen - ein Problem der Funke-Webseite und nicht der Sovendus-Einbindung.

Auf diese Weise hätten nach einer Schätzung der C't 1,45 Millionen Datensätze von der Webseite kopiert werden können. Das Computermagazin machte den Datenschutzbeauftragten der Funke Mediengruppe auf das Problem aufmerksam. Kurze Zeit später waren die URLs mit den IDs nicht mehr zu erreichen, das Problem wurde behoben.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

IDs in den URLs dürfen nicht aufgezählt werden

Laut der Funke Mediengruppe waren jedoch nur 85.664 unterschiedliche Personen betroffen, da insbesondere bei einem Adventskalender-Gewinnspiel in der Vorweihnachtszeit etliche Personen an mehreren Gewinnspielen teilgenommen hätten. Funke hat den Vorfall bereits an die Berliner Landesdatenschutzbeauftragte gemeldet und will die Betroffenen informieren.

Das Problem, eine fortlaufende ID für Datensätze in URLs zu verwenden, ist ein Klassiker. Immer wieder lassen sich darüber Daten abgreifen.

Dasselbe Problem entdeckte beispielsweise die Sicherheitsfirma Modzero bei der Corona-Kontaktliste von Lunchgate, bei der Restaurantbesucher ihre Daten über einen QR-Code in einer Datenbank hinterlegen konnten, um im Falle einer möglichen Corona-Infektion kontaktierbar zu sein. Auch hier ließen sich die Daten von anderen Restaurantbesuchern über eine Anpassung der ID ausgeben. Das Problem wurde behoben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Jahressteuergesetz
Homeoffice-Pauschale wird noch einmal erhöht

Wer im Homeoffice arbeitet, kann mehr von der Steuer absetzen als bislang geplant. Der Maximalbetrag steigt an.

Jahressteuergesetz: Homeoffice-Pauschale wird noch einmal erhöht
Artikel
  1. AVM Fritzbox: FritzOS 7.50 ist da
    AVM Fritzbox
    FritzOS 7.50 ist da

    Das neue Betriebssystem für Fritzboxen bringt viele Neuerungen beim Smart Home, führt Wireguard per QR-Code ein und verbessert IP-Sperren.

  2. Samsung-Tablet bei Amazon um 180 Euro reduziert
     
    Samsung-Tablet bei Amazon um 180 Euro reduziert

    Auch nach dem Black Friday gibt es bei Amazon günstige Samsung-Tablets. Je nach Modell sind derzeit bis zu 180 Euro Rabatt möglich.
    Ausgewählte Angebote des E-Commerce-Teams

  3. IT-Projektmanager: Mehr als Excel-Schubser und Flaschenhälse
    IT-Projektmanager
    Mehr als Excel-Schubser und Flaschenhälse

    Viele IT-Teams halten ihr Projektmanagement für überflüssig. Wir zeigen drei kreative Methoden, mit denen Projektmanager wirklich relevant werden.
    Ein Ratgebertext von Jakob Rufus Klimkait und Kristin Ottlinger

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis 53% günstiger, u. a. Echo Dot 5. Gen. 29,99€ • Mindstar: AMD Ryzen 7 7700X Tray 369€ • Crucial-SSDs günstiger • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. E-Auto-Wallbox 399€ • LG OLED TV (2022) 55" 120Hz 949€ [Werbung]
    •  /