Datenleck bei Libri zieht weitere Kreise

Offenbar war es mit den Sicherheitsmaßnahmen bei Libri noch weit schlechter bestellt, als bislang angenommen. Bei den Logins für Shop-Besitzer waren in vielen Fällen Loginnummer und Passwort gleich, sodass der Zugriff auf die Konten möglich war.

In Pocket speichern vorlesen Druckansicht 83 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Daniel Bachfeld

Offenbar war es mit den Sicherheitsmaßnahmen beim Online-Buchhändler und -Marktplatz Libri noch weit schlechter bestellt, als bislang angenommen. Netzpolitik.org berichtet , dass bei den Libri-Konten vieler Buchhändler der Login-Name gleich dem Passwort war. Dabei wird der Login-Name nur durch eine mehrstellige Zahl repräsentiert. Zudem hat Libri offenbar die Zahlen sequentiell belegt. Mitarbeitern von netzpolitik.org gelang auf diese Weise probehalber die Anmeldung an die Konten einiger der mehr als 1000 Händler, für die Libri einen Online-Marktplatz zur Verfügung stellt. Für den Zugriff auf mehrere Konten genügte es, die Login-Nummer um jeweils eins zu erhöhen. In den Konten fanden sich laut Bericht sämtliche Daten der jeweiligen Online-Vertriebsgeschichte.

Gestern erst war bekannt geworden, dass durch eine Lücke im System von Libri.de der unautorisierte Zugriff auf mehrere tausend Rechnungen von Kunden möglich war. Zum Abruf genügte es, in der URL der als PDF verfassten Rechnung einfach die Rechnungsnummer zu variieren – ähnlich wie nun bei den Logins. Die Rechnungen enthielten die Kundenadresse, das Kaufdatum, die gekauften Produkte, Preis, Rechnungsnummer, Kundennummer und die Bezahlweise (jedoch keine Bankdaten) sowie den Partner vor Ort. Durch das Herunterladen und Auswerten der Rechnungen ließe sich nachvollziehen, wer welche Bestellungen in der letzten 16 Monaten über Libri getätigt hatte.

Laut Bericht waren im Unterschied zu den 500.000 Rechnungen in den einzelnen Shop aber mehr private und gewerbliche Daten einzusehen. Ursache des erneuten Problems ist, dass Libri nach dem Anlegen eines Kontos für einen Shopbetreiber das Passwort standardmäßig vorbelegt hat und die Kunden dies anschließend nicht änderten.

Laut Libri lässt sich aber nicht mehr feststellen, welcher Händler sein Passwort geändert hat, da diese verschlüsselt gespeichert werden. Aus Sicherheitsgründen hat Libri gestern abend daher alle Passwörter durch neu (und sicher) generierte ersetzt. Künftig wird der Anwender nach dem ersten Login dazu gezwungen, sein Passwort zu ändern.

Erneut stellt sich die Frage, wie das vorherige, unsichere Vergabesystem mit der Zertifizierung des Systems durch den TÜV Süd in Einklang steht.

Frank Rosengart von Chaos Computer Club meint gegenüber netzpolitik.org zu den Vorfällen: "Libri.de hat bewiesen, dass sie nicht einmal über Grundkenntnisse in IT-Sicherheit verfügen. Das Vergeben von solchen Initialpasswörtern darf einfach nicht passieren, und in Kombination mit dem PDF-URL-Dingens muss man leider davon ausgehen, dass personenbezogene Daten bei libri.de nicht gut aufgehoben sind. Das Unternehmen hielt es bisher auch nicht für notwendig, seine Kunden über das Problem zu informieren, was das Mindeste in einer solchen Situation gewesen wäre."

Siehe dazu auch:

(dab)