Der gläserne Web.de-Nutzer

Durch einen Fehler in einer Funktion zur Adressbuchverwaltung ließen sich beim Freemail-Provider Web.de die persönlichen Daten von registrierten Nutzern abrufen. Dazu genügte es, eine bestimmte URL aufzurufen und danach "Meine Daten" anzuwählen. Dabei landete man circa jedes dritte Mal im Verwaltungsmenü eines zufälligen Web.de-Nutzers. Dort konnte man dann persönliche Daten wie Adresse, Telefonnummer und -- falls vorhanden -- auch die Bankverbindung und Einkäufe bei Web.de einsehen. Änderungen konnte man allerdings nicht vornehmen; dazu wäre die Eingabe der Passworts erforderlich gewesen.

Der Fehler lag in einer Funktion zum Vervollständigen von Adressbucheinträgen, bei der ein Dritter seine eigene Adresse bei Web.de-Nutzern ergänzen kann. Der Bug ist mittlerweile beseitigt. (ju)