Datenschutzproblem bei BOL
Wer bei BOL ein persönliches Profil (My BOL) anlegt, sollte aufmerksam auf seine Bookmarks achten: Wie Telepolis berichtete
Wer bei BOL ein persönliches Profil (My BOL) anlegt, sollte aufmerksam auf seine Bookmarks achten: Wie Telepolis berichtete, kodiert BOL die Anmeldeinformationen des Benutzers während des gesamten Aufenthalts auf der Website in die URL. Wer eine solche URL weitergibt, um beispielsweise einen Bekannten oder schlimmstenfalls das halbe Internet in einem Newsgroup-Beitrag auf ein neues Buch hinzuweisen, öffnet seinen Account jedem, der diese URL in die Finger bekommt. Beispielsweise zeigt der folgende Link scheinbar nur auf das Buch "Das Dilbert Prinzip" - gleichzeitig meldet es allerdings den Besucher bei BOL an: http://www.bol.de/cec/cstage?eccookie=rFIZpM9amn%2bleKyh3uBfZHdG6rS4vIxkg30kZkIBqDP7b29J8coSm27zt4dkv%2bBpEqyeB3kR0%2bXVsCtEDY4tv4Ip9ZJs3NbqeZz3AEjdkQoD0RcPkSf%2fIdjJHjFwCGNPlUAqh7b17NwQHQ%3d%3d&ecaction=bolrate&t=b&a=imp&r=2&l=30&template=bolproductview.de.htm&PrdId=168212455&WorkId=168980430
Mit dem Klick auf eine derartige URL ist ein Angreifer automatisch ohne Paßworteingabe angemeldet und kann alle zu diesem Benutzer gespeicherten Daten auslesen und verändern: Name, Anschrift, bisherige Bestellungen, eventuell Bankverbindung und persönliche Interessen. Lediglich das (völlig unnötige) Paßwort und die durch "x" überschriebenen ersten 12 Stellen einer gespeicherten Kreditkartennummer bleiben dem Angreifer verborgen. Es ist ihm aber ohne weiteres möglich, Empfängernamen und Lieferanschrift zu ändern und Bestellungen auf Rechnung des ursprünglichen Benutzers zu veranlassen. Auch die EMail-Anschrift, an die eine Auftragsbestätigung ergeht, läßt sich modifizieren.
Die verräterischen URLs scheinen kein Verfallsdatum zu haben und lassen sich auch durch ein "Abmelden" des Benutzers nicht beeinflussen. Nach ersten c't-Analysen scheinen die relevanten Inhalte der URL bei der ersten Anmeldung ausschließlich aufgrund der EMail-Adresse des Benutzers erzeugt zu werden und von da an dauerhaft gültig zu sein. Es wäre dann nicht unwahrscheinlich, daß der verwendete Code zu brechen ist und man sich anschließend lediglich mit Kenntnis der EMail-Adresse eines My-BOL-Kunden Zugang zu dessen Account und Daten verschaffen könnte. (nl)
