Libri lässt Kundenrechnungen offen im Netz liegen
Durch eine Lücke war es jedermann online möglich, unautorisiert Rechnungen von Kunden einzusehen. Besonders brisant: Libri wurde vom TÜV-Süd AG mit dem Safer-Shopping-Zertifikat ausgezeichnet, das Sicherheit suggerieren soll.
- Daniel Bachfeld
Durch eine Lücke im System des Online-Buchhändlers Libri.de war es jedermann möglich, online unautorisiert mehrere tausend Rechnungen von Kunden einzusehen. Das berichtet netzpolitik.org. Zum Abruf genügte es, in der URL der online als PDF hinterlegten Rechnungen einfach die Rechnungsnummer zu variieren – die einfach durchnummeriert waren. Auf diese Weise konnten die Mitarbeiter von netzpolitik.org per Skript in einer halben Stunde rund 20.000 Rechnungen herunterladen.
Die Rechnungen enthielten die Kundenadresse, das Kaufdatum, die gekauften Produkte, Preis, Rechnungsnummer, Kundennummer und die Bezahlweise (jedoch keine Bankdaten) sowie den Partner vor Ort. Libri arbeitet nämlich auch als Dienstleister für viele stationäre Buchhändler und andere Online-Shops. Durch das Herunterladen und Auswerten der Rechnungen ließe sich laut Bericht nachvollziehen, wer welche Bestellungen in der letzten 16 Monaten über Libri getätigt hat.
Das Brisante an dem Vorfall: Libri.de wurde vom TÜV-Süd AG mit dem Safer-Shopping-Zertifikat ausgezeichnet und wirbt auf seiner Seite auch prominent mit dem TÜV-Siegel. Mittlerweile ist die Lücke geschlossen. Laut Libri sind "Kundendaten nach Analyse der Logfiles nicht in den Umlauf gekommen."
Markus Beckedahl von netzpolitik.org wirft in seinem Bericht zu Recht die Frage auf, was ein TÜV-Zertifikat und die Dienstleistungen des TÜV Süd wert sind, wenn es dennoch zu solch einer eklatanten Panne kommt – für die es nicht einmal besonderer Hackerqualitäten bedarf, um sie auszunutzen. Beckedahl sieht nur zwei Möglichkeiten, warum es schiefging: Dem TÜV Süd ist beim Datenschutz-Audit die Lücke nicht aufgefallen oder sie war nicht vorhanden und kam erst in Folge eines Software-Updates hinzu. So oder so sollte man dann aber künftig solchen Siegeln Misstrauen entgegenbringen – sowohl als Kunde als auch als Shopbetreiber. (dab)