Zugriff auf Rechnungen im Sparkassen-Shop möglich [Update]

Nach Libri hat nun den Deutschen Sparkassenverlag (DSV) ein Datenschutzproblem mit Kundenrechnungen ereilt. So konnten angemeldete Nutzer die Rechnungen anderer Kunden durch Ändern einer bestimmten ID einsehen. Das berichtet netzpolitik.org.

Anders als bei Libri genügte dazu allerdings nicht das simple Manipulieren der URL im Browser. Vielmehr war das Ändern der ID-Variablen im POST-Request eines Formulars notwendig – das lässt sich aber beispielsweise mit speziellen Web-Proxies oder dem Firefox-Plug-in Firebug bewerkstelligen. Mitarbeiter des Newsdienstes netzpolitik.org hatten auf diese Weise nach eigenen Angaben Zugriff auf fast 350.000 Rechnungen im Sparkassen-Shop.

Im Shop des Sparkassenverlags kann man etwa Finanzsoftware wie Star Money 7.0 und Publikationen erwerben. Der Shop steht jedoch weder in direkter Verbindung zu den Auftritten der Sparkassenfilialen noch zum Online-Banking. Allerdings verkauft der DSV nicht nur Bücher und Software, sondern erbringt auch IT-Dienstleistungen innerhalb der Sparkassenverbände. Zudem betreibt er im Rahmen von S-TRUST eine Zertifizierungsstelle nach deutschem Signaturgesetz.

Die von netzpolitik.org eingesehenen Rechnungen enthielten Name, Anschrift, gekauftes Produkt, Liefer- und Rechnungsadresse, dazu die Einkaufszeit und die Zahlungsweise. Zudem fanden sich Zahlungsart und sofern Bankeinzug Angaben über Kontoinhaber, Bankleitzahl und der Name der Bank. Die Kontonummern waren jedoch bis auf die letzten vier Zahlen zur Sicherheit geschwärzt. Der Deutsche Sparkassenverlag wurde über die Lücke informiert und soll sie mittlerweile geschlossen haben.

Update: Laut Stellungnahme des Sparkassenverlages wurde die Bestell-ID im System "zwar mehrfach validiert und insbesondere gegen schadhafte Codes geprüft und entsprechend gefiltert. Allerdings berücksichtigte der Prüfvorgang nicht, ob die ausgewählte Bestell-ID zum angemeldeten Kundenprofil passte." Künftig wird die ID zusätzlich auf die Zugehörigkeit zum angemeldeten Nutzer geprüft. Wird eine fremde Bestell-ID eingeschleust, so soll das System künftig nur die Bestellhistorie des angemeldeten Kunden ausgeben.

Darüber hinaus hat der DSV nach eigenen Angaben umfassende Funktionstests des Kundenbereichs durchgeführt, wobei man jedoch keine weiteren Unregelmäßigkeiten entdeckt haben will. "Um den hohen Sicherheitsstandard für die Shopkunden dauerhaft zu gewährleisten, untersucht nun eine Arbeitsgruppe das Shop-Frontend. Anschließend wird ein externer Dienstleister einen erneuten Sicherheits- und Penetrationstest durchführen.", schreibt der DSV in seiner Stellungnahme.

Siehe dazu auch:

• Datenleck bei Libri zieht weitere Kreise
• Libri lässt Kundenrechnungen offen im Netz liegen