Nocard.info zeigt Schwachstellen von Kundenkarten auf

In Österreich ist ein Kundenkarten-Generator online gegangen, der Supermärkte verärgert und Sicherheitslücken offenlegt

Die Seite nocard.info erzeugt zufällige EAN-Codes in einem Bereich, in dem die von Billa, Merkur und Bipa, den Supermärkten des Rewe-Konzerns, ausgegebenen Kundenkarten liegen. Die Chancen stehen gut, dass dieser Code dem eines tatsächlichen Kunden entspricht und von der Kasse akzeptiert wird. Die Betreiber von Nocard.info wollen nach eigener Aussage nur "Kinderschokolade günstiger bekommen und nebenbei die Kundenprofildatenbanken zumüllen".

Merkur hat auf die neue Plattform reagiert und die Kassierer angewiesen, nur die "offizielle" Merkur-App zu akzeptieren, worauf die Nocard.Info-Betreiber die App optisch so an die Merkur-App angepaßt haben, dass der Unterschied kaum noch zu erkennen ist. Zahlreiche User von Drittanbieter-Apps dürften aber entsprechend verärgert sein.

Billa weist in ihrem Twitter-Account darauf hin, dass das verwenden von Nocard.info beim Einkauf den Tatbestand des Betrugs erfüllt. Das soll aber nicht bedeuten, dass man gegen die eigenen Kunden massenhaft Anzeigen erstatten will – davon würde der viel beworbene Hausverstand wohl abraten - ausschließen will man Anzeigen in Einzelfällen aber auch nicht. Rechtliche Schritte gegen die Betreiber von nocard.info werden noch geprüft.

Studenten der FH Salzburg ist indessen der Zugriff auf Kundenprofile von Merkur mit Hilfe der nocard.info-Codes gelungen. Für den Zugriff auf die Daten mußten sie nur noch die richtige Postleitzahl erraten. Nocard.info meint dazu: "Die Sicherheitslücke ist so trivial, man muss wohl davon ausgehen, dass alle Merkur-Kundendaten bereits kopiert und verkauft wurden." Laut Rewe waren nur einzelne, über eine App selbst zu wartende Kundenkonten betroffen, die Lücke wurde inzwischen geschlossen.

Mit Rewe hat es sicher einen der größten Anbieter getroffen, allerdings könnten auch andere Kunden- bzw. Clubkarten-Systeme ähnliche Sicherheitsschwächen aufweisen.

Kommentare lesen (30 Beiträge)
Anzeige