Datenleck bei Kabel BW
Beim "sag es uns" Gewinnspiel von Kabel BW fĂĽhrte ein Programmierfehler dazu, dass man die Namen und Adressen aller Gewinnspielteilnehmer auslesen konnte.
- Fabian A. Scherschel
Ein Gewinnspiel auf der Webseite von Kabel BW enthielt eine Sicherheitslücke, die es Besuchern ermöglichte, persönliche Daten von Teilnehmern auszulesen. Dazu zählten Klarnamen und Adressen von Tausenden Personen. Um an diese Daten zu kommen, musste ein Angreifer lediglich die Webseite des Gewinnspiels laden und einen Blick in empfangene Pakete werfen. Von heise Security auf die Lücke aufmerksam gemacht, reagierte Kabel BW innerhalb eines Tages und hat das Leck mittlerweile gestopft.
Bei dem Gewinnspiel geht es darum, ein möglichst originelles Wort aus Einzelteilen zusammenzubauen, um die Nutzung eines Breitbandinternetanschlusses zu beschreiben. Die Webseite listet dabei besonders gute Einreichungen von Teilnehmern auf. Der Webseiten-Code zeigt lediglich den Vornamen und die Wortschöpfung an, versandte aber an alle Besucher auch Daten wie die vollen Namen, die Mail-Adressen und Postanschriften sowie die Telefonnummern der Teilnehmer. Diese Daten auszulesen, war ein Kinderspiel – man musste nur einen Blick in den Netzwerkverkehr werfen.
Von einem Leser auf das Problem aufmerksam gemacht, konnte heise Security die Sicherheitslücke nachvollziehen und informierte Kabel BW. Der Provider reagierte prompt und modifizierte noch am selben Tag den Webseiten-Code um ein Ausnutzen der Sicherheitslücke zu unterbinden. Man wolle die volle Funktionalität der Gewinnspielwebseite erst wieder herstellen, wenn die Sicherheitslücke zuverlässig geschlossen sei. (fab)