Passwort-Panne bei Online-Auktion

Das Internet-Auktionshaus iez-auktion.de hat rund einen Tag lang über einen neu eingeführten Link unabsichtlich die Benutzerpasswörter von Auktionsteilnehmern verraten. Wer während dieser Zeit nach einem Benutzernamen gesucht hat, konnte in der URL des Links "Such-Agenten verwalten" die Passwörter anderer Benutzer in Erfahrung bringen. Diese Zugangskennung offenbarte sowohl die persönlichen Daten wie auch sämtliche bisherigen Gebote des Teilnehmers; andere Auktionsteilnehmer hätten so unter falscher Identität steigern können.

Ein aufmerksamer c't-Leser hatte den Lapsus heute Nachmittag bemerkt. Nach einem Hinweis an den Betreiber wurde der verräterische Link entfernt. Die Funktion "Such-Agenten verwalten" hätte eigentlich erst nach einer Anmeldung des Benutzers zur Verfügung stehen sollen und wurde nur irrtümlich auch in den "nicht-autorisierten" Bereich gestellt. IEZ-Auktionsteilnehmer sollten jedoch vorsichtshalber ihre Passwörter ändern. (nl)