Hunderte Online-Shops verraten Kundendaten
In hunderten ECommerce-Shops sind die Kunden- und Bestelldaten für alle Welt lesbar. Einige zeigen sogar die Kreditkartennummern.
Nach Berichten in der Sicherheitsmailingliste Bugtraq sind in hunderten Online-Shops die Kunden- und Bestelldaten für alle Welt per WWW lesbar. Joe H., Support-Techniker eines Internetproviders in Seattle hatte zunächst auf etliche "offene" Installationen von sechs verschiedenen ECommerce-Programmen hingewiesen. In den folgenden Tagen hat der dänische Journalist Bo Elkjaer noch drei weitere anfällige "Shopping Carts" ergänzt. Die Mitarbeiter im Geschäftsfeld IT-Security der SerCon GmbH haben mehrere WWW-Sites ausgemacht, auf denen Angreifer auch Kreditkartennummern ausspionieren können.
Die Auskunftsfreude der Web-Shops geht dabei nicht auf fehlerhafte Software zurück. Sie beruht vielmehr auf mangelnder Sorgfalt bei der Administration oder ungenügenden Sicherheitsvorgaben bei der Installation. Die Programme sind teils günstige 20-Dollar-Shareware, teils kommerzielle Software zum Preis von mehreren hundert Dollar. Auch die Größe und Umsatzstärke der einzelnen "undichten" Shops differiert stark.
Sowohl Joe H. als auch Dr. Gerald Spiegel von der SerCon GmbH berichteten zudem von Unverständnis und zögerlichen Reaktionen auf ihre Hinweise an einige der betroffenen Firmen: Die Warnungen wurden teils nicht ernst genommen oder man sah keinen Handlungsbedarf. Die VISA-Betrugsabteilung in den USA wollte von den Problemen gar nichts wissen und verwies laut Joe H. lediglich an die Federal Trade Commission. (nl)
