Datenschutzproblem bei Yello Strom

Tausende Kundenverträge waren beim Stromanbieter Yello für Jedermann im Internet einsehbar, wie aufmerksame c't-Leser heute bemerkt haben. Neben Name, Adresse und Telefon verriet der WWW-Server auch Bankverbindung, Haushaltsgröße und Jahresstromverbrauch der Kunden. Über ein Skript zur Druckaufbereitung konnte man offenbar auf die komplette Datenbank der Kunden zugreifen, die sich über das Internet angemeldet hatten: Ein Angreifer hätte lediglich in der URL https://ssl.yellostrom.de/useit/vertrag/drucken.php3?version=FTDD&vertrag= eine beliebige Vertragsnummer eingeben müssen, um die Informationen abzufragen. Hierzu war keine Anmeldung bei der SSL-geschützten Website erforderlich. Nach dem Hinweis durch c't hat Yello Strom zunächst den Server vom Netz genommen. (nl)