Unglaubliche Sicherheitslücke bei Quelle Online

Internet & Webdienste Am Wochenende wurde beim Online-Shop von Quelle eine unglaubliche Sicherheitslücke entdeckt. Gab man eine Bestellung auf und wählte am Ende den Punkt, dass man sein Passwort vergessen hat oder gerade nicht zur Hand hat, so konnte man auch ganz ... mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Schei***, das ist ja heftig. Eieieiei...
 
lol, das sind ja'n paar Pro's.
 
@silentius: http://www.idiotenapostroph.de.vu/
 
@Mampf :
Ja ich weiß es ist ein tolles Gefühl sich als Hüter der deutschen Rechtschreibung aufzuführen und wenn man mit einem kurzen kommentarlosen Link seine geistige Überlegenheit demonstrieren kann, fühlt man sich auch ziemlich elitäraber ein Apostroph steht in der Regel für etwas Weggelassenes... Gehen wir mal vom deutschen Wort Pro(fi)s aus -na fällt was auf? Also mal bisschen den Ball flach halten.
 
@cuotus: Argh, Cuotos, dein erstes Statement unterschreibe ich sofort. Die Art und weise, auf die Mampf schreibt, ist daneben. Nur Deine Argumentation zum Thema Rechtschreibung hättest Du besser nicht hinterhergeschoben... In der Sache stimmt nun mal (ohne Apostroph), was Mampf bemängelt. Wenn Du Dich nicht unnötig auf zu dünnes Eis begeben hättest, wäre Deine Aussage viel stärker gewesen... :)
 
@silentius: Zudem Rechtschreibfehler hier eigentlich so ziemlich egal sind
 
@stinker: Eben nicht. Wie begründest du dass der Apostroph da falsch ist? Ich kenne es folgendermaßen: (Sollte das falsch sein dann lass ich mich gern korrigieren) Ein Apostroph gehört nicht (wie viele es machen) bei Pluralformen (Profi's) oder oder Besitzanzeigen. (Paul's Kneipe) (beides falsch) -wohl aber schreibt man einen wenn Teile eines Wortes weggelassen werden. (Hans' Kneipe) (ein "s" wird weggelassen) Hier wird in dem Fall ein Teil des Wortes Profi weggelassen (es sei den das Substantiv Pro wäre als solches ein vollständiges Wort -was mir neu wäre) was durch den Apostroph angezeigt wird. Danach wird natürlich noch das Plural-S drangehängt. Eventuell wurde der Apostroph sogar aus falscher Absicht gesetzt (wegen Plural) -trotzdem ist es an dieser Stelle nicht falsch. Allerdings glaube ich das nicht weil silentius vorher ja schon den Apostroph richtig in "ja'n" verwendet hat.

@matzem87: Da bin ich völlig deiner Meinung und normalerweise ist mir sowas auch völlig egal weil wohl niemand immer fehlerfrei schreibt. Nur die die einen auf Oberlehrer machen sollten zumindest selber was davon verstehen wenn sie andere wegen solchen Kleinigkeiten anmachen wollen. Sonst wirds nämlich peinlich. (Und jetzt gebt's mir!) -hoppla gleich noch ein Beispiel für einen richtigen Apostroph *g*
 
@ cuotos: oder nach Deiner richtigen Einlassung statt "......Sonst wirds nämlich peinlich...." doch besser "...... Sonst wird's peinlich....", weil "..wird's.." ist eine (Zitat) Abkürzung von "..wird es.." und daher besser mit Apostroph. Nee, watn komplizierten Kram !
 
Nach der seit dem 1.8.2006 gültigen Rechtschreibreform ist nun auch das "Deppenapostroph" in der deutschen Rechtschreibung erlaubt.
 
Das ist heftig. Ich hoffe die machen so bald wie möglich ein bugfix. Die armen betroffenen Hausfrauen *g*
 
@Nautilus_Master: Es werden doch hier nur Betreiber von Quelle-Shops als Opfer erwähnt und keine Hausfrauen
 
@flashas: das sind meist hausfrauen so wie ich das mitbekommen habe
 
Wiso kommen die eigentlich nicht auf die Betrüger? Ich meine die Lieferadresse wird er doch angegeben haben..
 
@Mudder: also da Postbetrug ja nun mit eines der ältesten Arten des Betruges ist glaube ich mal dass es auch heute noch relativ einfach dies durch zuziehen, und größtenteils auch schwer heraus zufinden / zu klären.

@Topic: Aber schon heftig so eine Sicherheitslücke vor allem da man da ja nicht nur Betrug im Sinne von "ich kaufe jemand anders zahlt" machen kann sondern auch "ich bestelle und jemand anderes bekommt es _UND_ bezahlt"
 
@cybaerchen: "Ich bestelle, Du bezahlst und erhälst"... Das ist in fast jedem Online-Shop möglich, da die wenigsten tatsächlich eine Identifikationsprüfung im Sinne des Wohnortes vornehmen. Web.de tut dies, indem Dein Initialpasswort per Post zugesandt wird. Kenne aber keinen weiteren OnlineShop, der ähnlich vorgehen würde. Das einzige was hier authentisch sein muß, ist die Email Adresse... Allgemein würde ich nicht sagen, dass diese Lücke "unglaublich" ist.... Unglaublich sind die Lücken des IE, ala falschen Link anklicken, schon haste den Rechner mit Spyware zugemüllt... Quelle war einer der wenigen Online Shops, bei denen man ohne registrierten Account bestellen konnte. Eben indem man am Ende die Auswahl zwischen registriertem Account, oder manuelle Eingabe hatte. Die Bezahlung erfolgt dann in der Regel per Nachnahme. Wo ist das Problem?
 
@Mudder: Ganz einfach weil die Sachen an einen Quelle-Shop geliefert wurden und da ist man einfach hin und hats abgeholt...
 
@brand10: stimmt unglaublich ist an der Sache nichts, nur die Tatsache das es bekannt war und trotzdem nichts unternommen wurde (nicht die Anzeigen sondern das stopfen des Loches mein ich), und das Problem ist wie du es sagst "Die Bezahlung erfolgt dann in der Regel per Nachnahme.". Wer schonmal den Pizzaspass gemacht hat (anrufen, bestellen und zum gehassten Lehrer liefern lassen) der weis dass genau bei dieser Nachname _ohne_ Authentifizierung das Hauptproblem liegt!
 
@cybearchen: Da haste nicht ganz unrecht. Trotzdem ist Nachnahme an sich, erstmal nichts verwerfliches. Hier entsteht dem belieferten kein Schaden, da er nicht verpflichtet ist zu zahlen. Quelle hätte sich also selbst geschadet (ähnlich Pizzalieferant). Für mich als Kunden ist es relativ egal. Ich profitiere unter Umständen nur davon.
 
@brand10: Stimmt dem Kunden entsteht kein Schaden nur dem Lieferer (in dem Fall Quelle) umso mehr ist es erstaunlich dass sie dieses Sicherheitsproblem nicht gelöst haben, nunja jetzt hat man es ja gestopft und auch gleich noch ein paar Mitarbeiter entlassen wenn ich "Der Geschäftsführer kündigte im gleichen Atemzug personelle Veränderungen an." richtig deute!
 
@ brand10: Das mit dem Brief von Web.de ist aber alt. Meines Wissens wird das nicht mehr so gehandhabt. Als ich mich angemeldet habe, brauchte ich das nicht mehr - hatte vollen Zugrif, während bekannte von mir sich früher anmeldeten und auf besagten brief warten mußten.
 
Ihr hättet am Freitag bereits schreiben sollen dass es bei Quelle ein alles gratis Wochenende gibt. Ich bin enttäuscht, die Meldung kommt zu spät :)
 
@DrJaegermeister: LOL. Der war gut :D
 
Verdammt ich habs verpasst. BRauch doch son HDReady TV
 
Oki, jemand bestellt etwas und läßt es in den Quelle-Shop liefern. Anschließend holt er sich das ab. Frage: Wird im Shop nicht die Legitimation des Abholers überprüft? irgendwie verstehe ich das Ganze nicht.
 
@mcbit: Wenn du das Geburtsdatum des Betreibers eines Quelle shops wusstest, konntest du mit seinem Account bestellen ohne Passwort, der Quelle Shop bekam nur die Rechnung. Wenn du als Lieferadresse ein leerstehendes Haus genommen hättest, dann hättest du nur noch davor auf das kostenlose Packet warten müssen. Einziger Haken: der Lieferant hätte dich indentifizieren können, aber manche Leute schreckt das nicht ab (z.B. ebay Betrüger)
 
Nachnahme immer noch die sicherste sache
 
ja na und wer muss wieder => im endefect der mitarbeiter der diese lücke verursacht hat. auf der einen seite gebe ich ja dem unternehmen recht, das man da was dran ändern sollte, bloss frage ich mich ob das nicht vielleicht andere ursachen hatte oder es war halt nur ein menschlicher feler der jedem von uns mal passieren kann.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte