Kundendaten liegen offen:
Datenleck bei über 170 Online-Apotheken
Da sie alle fehlerhafte Software eines Anbieters nutzten, kam es bei über 170 Online-Apotheken in den letzten Wochen zu einem schweren Datenleck. Die fehlerhafte Shop-Anwendung hatte persönliche Daten und Bestelllisten von Kunden offengelegt. Sicherheitsforscher haben die Lücke entdeckt.
Wissenschaftlern der Universität Bamberg ist es zu verdanken, dass die Sicherheitslücke bei mehr als 170 Online-Apotheken aufgedeckt wurde, die im Zusammenhang mit der Nutzung der Shop-Software der Firma Awinta steht. Wie die Tagesschau berichtet, war dabei für Angreifer keine aufwendige Prozedur nötig, um sensible Daten abzugreifen. Vielmehr war laut dem Bericht durch die simple Ergänzung von "server-status" in der Browseradresszeile der Abruf einer Liste möglich, die alle aktuellen Vorgänger des entsprechenden Servers aufschlüsselt.
Da diese Liste auch Zugriff auf Session-IDs ermöglichte, war es Angreifern nach dieser Analyse auch möglich, in Kundenaccounts einzudringen und Zugriff auf persönliche Daten zu nehmen sowie Bestellungen einzusehen. Aus Name, Adresse und Bestellliste ließe sich dann relativ einfach auch ein Rückschluss auf den Gesundheitszustand des jeweiligen Kunden ziehen, dies sei "vergleichsweise einfach" und jedem Studenten der Informatik möglich, so die Einschätzung der Bamberger Forscher.
Darüber hinaus war auch der Zeitpunkt, zu dem die Schließung der Lücke verkündet worden war so nicht korrekt. So waren die Lücken auf den Servern tatsächlich erst fünf Tage nach dieser ersten Verlautbarung zuverlässig geschlossen worden. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar geht in seiner Einschätzung so weit, von einem "ziemlich schwerwiegenden Vorfall" zu sprechen. Er fordert die betroffenen Apotheken auf, Kunden über den Vorfall zu informieren.
Da diese Liste auch Zugriff auf Session-IDs ermöglichte, war es Angreifern nach dieser Analyse auch möglich, in Kundenaccounts einzudringen und Zugriff auf persönliche Daten zu nehmen sowie Bestellungen einzusehen. Aus Name, Adresse und Bestellliste ließe sich dann relativ einfach auch ein Rückschluss auf den Gesundheitszustand des jeweiligen Kunden ziehen, dies sei "vergleichsweise einfach" und jedem Studenten der Informatik möglich, so die Einschätzung der Bamberger Forscher.
Awinta braucht länger als angegeben
Wie der Bericht angibt, soll Awinta seine Kunden bereits am Donnerstag über das schwerwiegende Problem informiert haben. Wie der Konzern betont, sei die Lücke geschlossen worden. Mit der Aussage, dass kein Zugriff auf die Kundenhistorie möglich gewesen sein soll, stellt sich das Unternehmen aber klar gegen die Erkenntnisse der Mitarbeiter der Universität Bamberg.Darüber hinaus war auch der Zeitpunkt, zu dem die Schließung der Lücke verkündet worden war so nicht korrekt. So waren die Lücken auf den Servern tatsächlich erst fünf Tage nach dieser ersten Verlautbarung zuverlässig geschlossen worden. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar geht in seiner Einschätzung so weit, von einem "ziemlich schwerwiegenden Vorfall" zu sprechen. Er fordert die betroffenen Apotheken auf, Kunden über den Vorfall zu informieren.
Thema:
Neueste Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen