Datenleck in Saturns MP3-Shop [Update]
Der Heiligabend gestartete MP3-Shop des Elektronikriesen Saturn hat mit herben Sicherheitsproblemen zu kämpfen.
- Oliver Lau
Mehrere Nutzer haben heise online berichtet und mit Screenshots belegt, dass sie beim bloßen Surfen auf den Seiten des am Heiligabend gestarteten MP3-Shops von Saturn plötzlich als ein anderer Nutzer angemeldet waren und dessen Daten (inklusive Passwort) ändern sowie bereits heruntergeladene Dateien erneut herunterladen konnten. Desweiteren sollen MP3-Alben einfach so aus dem Warenkorb verschwunden sein.
Auf Nachfragen zur Ursache erhielt heise online noch keine Antwort. Es liegt nahe, dass ein Programmierfehler in der Sitzungsverwaltung zu dem Datenleck geführt hat.
Ob die Lücke gefunden und gestopft wurde, steht in den Sternen. Saturn räumte bislang nur ein, dass das Sicherheitsproblem bekannt sei. heise online ist es nicht gelungen, den Fehler zu reproduzieren.
Diese Vorkommnisse werfen ein düsteres Licht auf die Marktgröße Saturn und führen dessen Datenschutzhinweis "Ihre bei uns gespeicherten Daten schützen wir und unsere Partnerunternehmen durch technische und organisatorische Maßnahmen, um einem Missbrauch durch Dritte wirkungsvoll vorzubeugen." ad absurdum. Mit der Angabe seiner Kreditkartendaten sollte man sich zumindest so lange zurückhalten, bis die Verantwortlichen bei der Saturn Online GmbH ihr Versprechen eingelöst haben, "technische Sicherheitsmaßnahmen zum Schutz Ihrer Daten" regelmäßig zu überprüfen und "falls erforderlich an den aktuellen Stand der Technik" anzupassen.
[Update]
Saturn informiert derzeit alle Kunden in einer Mail darüber, dass der Fehler erkannt und behoben wurde. Als Fehlerursache nennt das Unternehmen einen Bug in der Auto-Login-Funktion, der immer dann zum Tragen kam, wenn der Nutzer den Shop verlassen hat, ohne sich vorher auszuloggen. Diese Funktion sei abgeschaltet worden; Fehler bei der Zuordnung des angemeldeten Nutzers zu einem Nutzerkonto soll es nun nicht mehr geben.
Saturn weist darauf hin, dass die Kreditkarten- und Kontodaten nicht bei den Nutzerdaten gespeichert werden und deshalb auch nicht von anderen Nutzern eingesehen werden konnten, solange die Sicherheitslücke bestand. Trotzdem sollten alle Nutzer ihr Passwort umgehend ändern. (ola)