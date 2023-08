Anzeige

Leser weisen uns immer wieder auf vergleichsweise simple Schwachstellen hin, denen sie im Alltag begegnen. So wie diese Zuschrift, die wir mit Zustimmung des Lesers euch nicht vorenthalten wollen.

Hallo liebe Heise Redaktion,

ich bin sehr enttäuscht und möchte meine Erfahrung mit jemandem teilen. Danke für’s Zuhören. :)

Ich bin gerade in Ägypten im Urlaub und das Hotel bietet Informationen und Restaurantreservierungen natürlich online an. Weil wir uns allerdings nicht erfolgreich mit Zimmernummer und Nachnamen einloggen konnten, habe ich einen Blick in die Chrome Devtools geworfen. Da sieht man schnell, dass die Prüfung im Client passiert, der sich dazu die Reservierungsdetails per Web-Request holt. Ganz ohne Authentifizierung.

Und das wohl für alle Hotels der Gruppe und alle Zimmer. Die Informationen beinhalten den Namen, Geburtsdatum, Email, Telefonnummer, Land. Im Query-Part des Requests findet sich unsere Reservierung mit hotel=N und room=XXXX, das kann man schnell durchprobieren und findet reihenweise persönliche Daten – natürlich auch von Wildfremden.

Das ist doch echt enttäuschend. Und ich denke, dass so etwas allgegenwärtig ist. Wenn man derartige Datenlecks vermeiden möchte, muss man wohl auf viele Dinge verzichten, denn alle solche Lecks zu bekämpfen, ist ein Kampf gegen Windmühlen. Die Frage ist doch längst nicht mehr, wie man seine Daten schützen kann, sondern, wie man damit lebt, dass solche Dinge öffentlich sind. Wenn Banken und Krankenkassen Anrufer verifizieren, indem sie Geburtsdatum und Adresse abfragen, ist das doch nicht mehr genug.

Kennt ihr sowas auch? Ähnliche Erfahrungen gemacht?

(vbr)