Internet-Shop offenbart Kreditkartennummern

Auf dem Server des Berliner Softwarehauses inet Software GmbH waren Kundendaten offen zugänglich, darunter auch Kreditkartennummern. Die Firma, die Java-Client/Server-Anwendungen anbietet, ermöglicht es Kunden über ihren Webserver, Produkte zu bestellen. Obwohl Kundendaten während des Bestellvorgangs grundsätzlich verschlüsselt werden, war es möglich, sie einzusehen. Ein aufmerksamer Leser wies c't auf das Sicherheitsproblem hin: Wer mit der Suchfunktion der Site nach dem Schlüsselwort "Preis" fahndete, dem präsentierte der Server auch die Adressen der Dokumente, in denen er die Bestelldaten speichert. Ungefähr 200 Buchungsangaben mit Namen und Adressen von Kunden aus dem In- und Ausland inklusive der genauen Kreditkartendaten waren darin für jedermann einsehbar. Mittlerweile hat die Firma den Zugriff auf die Dateien mit den Benutzerdaten gesperrt. (jo)