idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Grafik: idw-Logo

idw - Informationsdienst
Wissenschaft

Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instanz:
Teilen: 
24.05.2018 12:12

Ungeschützte Kundendaten in Online-Apotheken

Patricia Achter Dezernat Kommunikation
Otto-Friedrich-Universität Bamberg

    Bamberger Informatiker entdecken Sicherheitslücke

    Informatik-Wissenschaftler der Universität Bamberg haben in Kooperation mit Journalisten von NDR und WDR eine Sicherheitslücke in den Onlineshops von zahlreichen Versandapotheken aufgedeckt. „Unbeteiligten wäre es dadurch möglich gewesen, persönliche Daten vieler Kunden auszuspähen, darunter ihre Bestellhistorie und teilweise sogar Zahlungsdaten“, so Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg. Sein Lehrstuhlteam entdeckte das Problem.

    Betroffen waren neben großen Anbietern wie „Apotal“ und „Sanicare“ etwa 170 weitere Versandapotheken. Ihre Onlineshops werden alle von der Firma „awinta GmbH“ in Bietigheim-Bissingen betrieben, einem führenden Softwareanbieter für Apotheken. „Nachdem wir uns sicher waren, dass die Lücke ausgenutzt werden kann, haben wir awinta unverzüglich darauf hingewiesen“, erklärt Dominik Herrmann. Der Anbieter habe daraufhin schnell reagiert und die Sicherheitslücke auf allen Servern behoben. Nach Angaben von „awinta“ gab es keine Hinweise darauf, dass die Lücke zu kriminellen Zwecken ausgenutzt wurde, sodass Nutzer keine Angst um ihre Daten haben müssen.

    Bei der Sicherheitslücke handelt es sich um sogenanntes „Session-Hijacking“. Dabei verschafft sich ein Angreifer Zugriff auf die Browser-Sitzung eines anderen Nutzers, der gerade in einem Onlineshop aktiv ist. Durch den Angriff kann der Onlineshop den Browser des Angreifers nicht vom Browser des Opfers unterscheiden. Der Angreifer kann seinem Opfer gewissermaßen über die Schulter schauen und mitunter auch Zugriff auf alle Daten erlangen, die im Kundenkonto hinterlegt sind. „Expertenwissen braucht man dafür nicht,“ sagt Dominik Herrmann. „Schon in unserer Einführungsvorlesung zur IT-Sicherheit setzen sich unsere Studierenden mit solchen Angriffen auseinander.“

    Internetnutzer hätten laut Dominik Herrmann auf die Sitzungen zugreifen können, weil einige Webserver von „awinta“ nachlässig konfiguriert gewesen seien. Jeder Nutzer hätte eine Status-Seite des Webservers aufrufen können, die nur für interne Zwecke vorgesehen war. Wer in der Adresszeile den Text „/server-status“ an den Domain-Namen der jeweiligen Versandapotheke anhängte, sah diese Status-Seite und konnte die Sitzungskennungen (Session-IDs) anderer Nutzer unmittelbar auslesen. „Um sensible Daten eines Kunden auszuspähen, hätte ein Angreifer lediglich eine solche Session-ID in seinem eigenen Browser hinterlegen müssen“, führt Dominik Herrmann weiter aus. Dass diese Vorgehensweise praktikabel war, wies er mit seinem Team durch eigens angelegte Testkonten nach. Überrascht hat Dominik Herrmann der Fund nicht: „Sicherheitsprobleme durch öffentlich abrufbare Server-Status-Seiten gab es in den letzten Jahren häufiger. Hoffentlich nimmt awinta unseren Fund zum Anlass, auf allen Systemen systematisch nach Schwachstellen zu suchen.“

    Entdeckt wurde die Sicherheitslücke bei Arbeiten am Onlineprojekt „PrivacyScore.org“, an dem neben Dominik Herrmann und seinen Mitarbeitern auch Forscher der Universitäten Hamburg und Kassel sowie der Technischen Universität Darmstadt beteiligt sind. Unter dem Link privacyscore.org/ können Internetnutzer und Seitenbetreiber selbst überprüfen, ob eine Webseite gängige Sicherheitsmechanismen einsetzt und wie sie im Vergleich mit anderen Seiten abschneidet.

    Weitere Informationen über den Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen: www.uni-bamberg.de/psi

    Weitere Informationen für Medienvertreterinnen und Medienvertreter:

    Kontakt für inhaltliche Rückfragen:
    Prof. Dr. Dominik Herrmann
    Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen
    Tel.: 0951/863-2661
    dominik.herrmann@uni-bamberg.de

    Medienkontakt:
    Patricia Achter
    PR-Volontärin
    Tel.: 0951/863-1146
    patricia.achter@uni-bamberg.de


    Bilder

    Dominik Herrmann hat eine Sicherheitslücke in den Onlineshops zahlreicher Versandapotheken entdeckt.
    Dominik Herrmann hat eine Sicherheitslücke in den Onlineshops zahlreicher Versandapotheken entdeckt.
    Saskia Cramm/Universität Bamberg
    None


    Merkmale dieser Pressemitteilung:
    Journalisten, Wirtschaftsvertreter, Wissenschaftler, jedermann
    Informationstechnik, Medizin, Wirtschaft
    überregional
    Forschungsprojekte, Kooperationen
    Deutsch


     

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).