Sicherheitslücke im Online-Shop von Medion geschlossen

Medion hat eine Sicherheitslücke in seinem Online-Shop beseitigt, durch den es registrierten Kunden möglich war, die Bestellungen anderer Kunden einzusehen – inklusive Artikel, Adresse und Summe. Dazu genügte es nach der Anmeldung im Shop, einfach die Bestellnummer in der URL zu ändern, um sogar Bestellungen aus dem Jahre 2004 einsehen zu können.

Nach Angaben von Matthias Meyer-Pundsack, IT-Leiter bei Medion, sei die Lücke erst mit der Umstellung auf eine neue Shop-Software am 11. 11. aufgetreten. Medion geht nicht davon aus, dass die Lücke von Dritten zur Einsicht von Kundendaten genutzt wurde. Medion war am Freitag auf die Lücke durch heise Security aufmerksam gemacht worden, nachdem mehrere Leser auf das Problem hingewiesen hatten. Noch am Freitagabend hatten die Entwickler die Lücke geschlossen. Das Unternehmen will in den kommenden Tagen zusätzliche Sicherheitstests durchführen, um mögliche weitere Lücken ausschließen zu können. (dab)