Bei SBroker standen Depot-Eröffnungsanträge ungesichert im Netz

Bei SBroker, dem Online-Broking-Service der Sparkassen, konnte man bis gestern Nachmittag ausgefüllte Depot-Eröffnungsanträge anderer Kunden einsehen. Neben den Namen, den kompletten Adress-Angaben und dem Beruf war so beispielsweise die Bankverbindung der SBroker-Interessenten zu lesen.

Diese Sicherheitslücke hatte ein findiger heise-online-Leser entdeckt, als er ein Depot eröffnen wollte. Nachdem heise online den Anbieter von der Sicherheitslücke informierte, war sie nach kurzer Zeit geschlossen.

Damit Kunden die Formulare nach dem Absenden einsehen oder ausdrucken können, generiert SBroker dynamisch ein PDF aus den eingegebenen Daten. Dazu fügt der Service die zuvor über ein Web-Formular abgefragten und in eine Oracle-Datenbank eingepflegten Informationen ein. Der Abruf des PDFs erfolgt über eine URL im Klartext. Es genügte, die laufende Datensatz-ID zu ändern, und man bekam die Formulare beliebiger anderer Kunden zu sehen. (hob)