Software für Webshop lässt Download von Kundendatenbank zu
Die Software ProductCart zum Aufbau eigener Webshops lässt das Herunterladen der Datenbanken zu, die Benutzernamen und Passwörter enthält.
ProductCart hilft beim Aufbau eigener kleiner Webshops, bei denen eine Warenkorbfunktion benötigt wird. Produkte, die man bestellen will, legt man durch Anklicken in den Warenkorb. Vor dem Bezahlen legt man ein Benutzerkonto mit seinen Kundendaten an, je nach Webshop auch die Kreditkartennummer. Für einen späteren Einkauf kann man sich mit Name und Passwort in sein Konto wieder einloggen.
ProductCart speichert sämtliche Kundendaten in einer Access-Datenbank, die durch einen Fehler in der Rechtevergabe den Zugriff für jedermann erlaubt. Die Angabe des Pfades zur Datenbank reicht aus, um sie herunterzuladen, etwa:
http://www.hackme.de/productcart/database/EIPC.mdb
Anschließend kann man sich mit einem Editor beliebige Konten heraussuchen, mit zugehörigem Namen und Passwort einloggen und einkaufen. Einige Webshops haben neben der standardmäßigen Datenbank EIPC eigene Datenbanken angelegt, bei der man den Namen erst erraten muss. Der Hersteller Earlyimpact beschreibt in einem Advisory einen Workaround zur Behebung des Problems. Betroffen sind die Versionen 1.x und 2.x.
Darüber hinaus gibt es auch Meldungen über die Möglichkeit, mittels SQL-Injection Befehle in der Datenbank von ProductCart auszuführen. Der Hersteller ist informiert und stellt einen Patch zur Verfügung. (dab)
