Vorsicht mit Kontodaten im Internet
Zwei weitere deutsche Web-Sites präsentierten Kundendaten auf öffentlich zugänglichen Seiten.
Wer persönliche Daten wie Adresse und Bankverbindung im Internet preis gibt, riskiert, dass diese irgendwann in fremde Hände gelangen. Dabei geht die größte Gefahr eben nicht von bösen Hackern aus, die Verschlüsselungen knacken, bei Man-In-The-Middle-Angriffen falsche Server vorgaukeln oder gar in gesicherte Serversysteme einbrechen. Viel zu oft liegen die Daten völlig ungeschützt auf den Servern von Internet-Dienstleistern herum -- offen zugänglich für jeden, der einen Browser bedienen kann und neugierig genug ist, um verschiedene URLs auszuprobieren.
Vor zwei Wochen meldeten wir ein solches Loch bei muenchenticket.de, wo Tausende von Kreditkartennummern öffentlich zugänglich waren. In der letzten Woche erreichten uns gleich zwei Hinweise von Lesern über Web-Sites, auf denen Kundendaten völlig offen "rumlagen". Beide Löcher sind nach unseren Hinweisen an die Systemadministratoren mittlerweile geschlossen.
Bei der Mitteldeutschen Zeitung fand ein neugieriger Leser heraus, dass das sich in einer URL angegebene Verzeichnis direkt öffnen ließ und eine Liste von Dateien und Unterverzeichnissen enthüllte. Er fand dort unter anderem ein Unterverzeichnis mit HTML-Dateien, die offensichtlich Kopien von Online-Aufträgen für Anzeigen oder Abonements waren. Sie enthielten den Anzeigentext und auch bei anonymen Chiffreanzeigen Namen, Adressen, Telefonnummern sowie in vielen Fällen die Bankverbindung.
Auch beim Handy-Distributor Brodos gab es Kundendaten frei Haus: Ein PHP-Skript präsentierte diese ohne Sicherheitsabfrage -- man musste lediglich eine fünfstellige Kennnummer im URL variieren, um verschiedene Datensätze mit Adressen, Kundenkennwort und Bankverbindung abzurufen.
In beiden Fällen gestehen die Betreiber in ihren Stellungnahmen gegenüber heise online zwar Fehler ein -- sehen aber keine Veranlassung, ihre Kunden darüber zu informieren, dass die ihnen anvertrauten Daten eventuell in fremde Hände geraten sein könnten. Ein Vorstandsmitglied von Brodos schloss einen Mißbrauch der Daten schon deshalb aus, weil sie bei ihren Überprüfungen der Log-Dateien keine systematischen Versuche entdeckt haben, ungewöhnlich große Datenmengen vom Server herunterzuladen. Dass einzelne Kunden wie die Schülerin Sabine S. aus Amberg erfahren, dass Dritte ihre Adresse, Kontoverbindung, Handynummer, das Kundenkennwort und auch ihr Geburtsdatum eingesehen haben, hielt er nicht für notwendig. (ju)
