Wieder ein Shopping-System mit Hintertür

Das E-Commerce-Programm "Cart32" vom US-Unternehmen McMurtrey-Whitaker hat eine Hintertür, durch die es bei Angabe eines Masterpassworts möglich ist, sensitive Daten auszuspionieren. Das berichtet die britische Sicherheitsfirma Cerberus Information Security.

McMurtrey-Whitaker hat die Existenz dieser Hintertür bereits bestätigt; bisher ist jedoch noch unklar, weshalb diese Funktion eingebaut wurde. Denkbar wäre, dass ein Mitarbeiter sich die Hintertür selbst geschaffen hat, um an Kreditkarteninformationen zu gelangen. Vielleicht habe McMurtrey-Whitaker die Funktion auch absichtlich eingebaut, um dem technischen Support Problembehandlungen zu erleichtern.

Das US-Unternehmen kündigte für Anfang nächster Woche einen Patch an, der das Problem beheben soll. Sicherheitsexperten kritisieren diese Vorgehensweise: "Bis Dienstag oder Mittwoch nächster Woche zu warten, ist eine absolut schlechte Idee. Man braucht kein Genie zu sein, um zu erraten, was über das Wochenende los sein wird", sagte Steve Manzuik, Moderator von Win2K Security Advice. Besonders prekär sei die Lage, weil das Masterpasswort bereits öffentlich bekannt geworden ist. Momentan bestehe die einzige Abhilfe für Administratoren darin, mit einem Hex-Editor selbst nach dem Passwort zu suchen und es zu ändern.

Bereits vergangene Woche sorgte eine ähnliche Hintertür im Dansie Shopping Cart für Aufsehen. In diesem Fall war es möglich, durch eine Hintertür beliebige Kommandos auf dem Zielrechner auszuführen. (pab)