Geschwätzige Schokolinsen: My-M&M's-Shop verrät Kundendaten

Ein Leser von heise online hat eine Sicherheitslücke im Shop der Schokolinsenmarke M&M's entdeckt, über die Kundendaten zugänglich waren.

In Pocket speichern vorlesen Druckansicht 99 Kommentare lesen
My-M&M's-Shop verrät Kundendaten
Lesezeit: 2 Min.
Von

Wer derzeit versucht, den Online-Shop der Schokolinsen-Marke M&M's zu besuchen, wird mit einer Fehlerseite empfangen. Red und Yellow, die beiden Maskottchen der Marke, entschuldigen sich, dass die Site im Moment "aufgrund einer technischen Störung" nicht verfügbar sei.

Bestellungen, Anschriften und Telefonnummern waren einsehbar (Schwärzungen durch Heise Online).

Hintergrund ist eine Sicherheitslücke. Wie einem Leser von heise online, Tobias Göbel, aufgefallen war, konnte man sehr einfach die Daten von Kunden, die über den Shop eingekauft haben, abrufen. Dazu musste man nur die Bestellnummer eines Einkaufs kennen.

Für jede Bestellung führt der Shop eine Statusseite, deren URL die Nummer enthält. Da der Shop die Bestellnummern offenbar durchnumeriert, war es einfach, die Bestellhistorie durchzugehen, sobald man erst einmal eine Bestellnummer hatte.

Stichprobenartige Tests von heise online legen nahe, dass es sich um die Daten Tausender Kunden aus ganz Europa handelt, die mindestens bis ins Jahr 2007 zurückdatieren. Im einzelnen waren neben der Bestellung jeweils auch die komplette Adresse und eine Telefonnummer des Kunden abrufbar. Informationen zur Zahlung, also Bankverbindungen oder Kreditkarteninformationen, ließen sich nicht abrufen.

heise online hat die Mars Holding, die die bunten M&M's-Schokolinsen herstellt, über das Problem informiert. Daraufhin hat das Unternehmen seine Site kurzfristig stilllegen lassen. Mars schreibt in einer kurzen Stellungnahme: "Wir nehmen das Thema Datensicherheit und den Schutz der Privatsphäre unserer Konsumenten sehr ernst und werden alles tun, um den Fehler schnellstmöglich zu beheben." heise online hat noch einmal nachgefasst, um zu erfahren, ob Mars die betroffenen Kunden infomiert. Darauf hat Mars aber bislang noch nicht geantwortet. (jo)