US-Bezahlsystem mit öffentlichen Kreditkartendaten

Durch einen primitiven Fehler auf den Webseiten des amerikanischen Bezahl-Dienstleisters PaySystems waren tausende von Kundendatensätzen einschließlich Kreditkartendaten zugänglich. Jeder PaySystems-Kunde konnte dabei die Daten anderer Kunden einsehen und sogar ändern.

PaySystems bietet an, Bezahlvorgänge zu widerrufen. Dabei wird diesem Vorgang eine Transaktionsnummer zugewiesen, die beim Aufruf der zugehörigen Informationen als Parameter in der URL auftauchte. Durch Ändern dieses Parameters konnte man beliebige Transaktionen anderer Kunden abrufen und anschließend über eine zweite URL auch deren Adresse und Kreditkartendaten.

Besonders erschreckend war auch die Art und Weise, wie die Firma auf die Sicherheitslücke reagiert hat. Ein c't-Leser entdeckte das Problem zufällig und unterrichtete PaySystems unverzüglich. Als nach einer Woche nichts passierte, wendete er sich an heise Security. Auf unsere Nachfragen antwortete PaySystems prompt, dass man den Hinweis zur Kenntnis genommen habe und an der Beseitigung des Problems noch arbeite. Auf weitere Nachfragen, warum man die Seiten nicht unverzüglich gesperrt habe, kam keine Antwort mehr. Mittlerweile ist diese Lücke zwar geschlossen, aber die Daten standen -- selbst nachdem PaySystems über das Problem informiert war -- noch mindestens eine Woche ungeschützt im Netz.

Das Ausmaß des Problems lässt sich nur schwer abschätzen. Aber die Tatsache, dass die Transaktionsnummern sequenziell vergeben wurden und mehrere Stichproben sofort zum Erfolg führten, lässt darauf schließen, dass hunderttausende solcher Transaktionen zugänglich waren. Über welchen Zeitraum die Daten so offen im Netz standen, können wir nicht beurteilen. Nachdem PaySystems unsere diesbezüglichen Nachfragen ignoriert hat, rechnen wir nicht damit, dass der Dienstleister seine Kunden auf die mögliche Gefährdung der Kreditkartendaten hinweist. (ju)