Datenklau bei der Citibank gelang durch simple URL-Manipulation

Bei dem Diebstahl von rund 200.000 Kundendaten der Citibank mussten die Kriminellen nicht tief in die Trickkiste greifen, wie ein Sicherheitsexperte gegenüber der New York Times bekannt gegeben hat. Demnach gelang der unberechtigte Zugriff, den die US-Bank bei einer Routinekontrolle Anfang März entdeckt hat, durch das simple Manipulieren eines URL-Parameters. Hierzu mussten sich die Kriminellen zunächst mit einem gültigen Account in den Kundenbereich für Kreditkartenkunden einloggen. Anschließend konnten sie einfach eine Nummer in der Webseitenadresse hochzählen, um an die Daten der anderen Kunden zu gelangen – dies taten sie mit Hilfe eines Skripts mehrere zehntausend Mal.

Bei dem Einbruch wurden Namen, Kontonummern, Mailadressen und Kaufhistorien entwendet, Ablaufdaten oder Sicherheitscodes wurden nicht erbeutet. Wer hinter dem Angriff steckt, hat die Citibank noch nicht bekannt gegeben. Der Sicherheitsexperte, der mit dem Fall vertraut ist, jedoch anonym bleiben möchte, äußerte gegenüber der New York Times die Vermutung, dass die Angreifer aus dem osteuropäischen Raum stammen.

Dass die Sicherheitslage auch hierzulande nicht unbedingt besser ist, demonstrierte Anfang des Jahres ein Schüler. Er entdeckte auf den Webseiten von insgesamt 17 Banken Sicherheitslücken. heise Security unterrichtete die Banken darüber, woraufhin diese die Lücken beseitigten. Doch als der Schüler drei Monate später die Webauftritte der gleichen Banken analysierte, fand er bei jeder einzelnen erneut mindestens ein ernstzunehmendes Sicherheitsproblem.

[Update]Gegenüber Reuters gab die Citigroup bekannt, dass von dem Vorfall 360,083 nordamerikanische Kreditkartenkunden betroffen sind. Insgesamt mussten 217,657 Kreditkarten neu ausgestellt werden.[/Update] (rei)