Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.09.2006

Sicherheitsleck im Online-System von Quelle

Über das Internet war es möglich, auf fremde Rechnung bei dem Versandhaus einzukaufen.

Durch einen Fehler innerhalb des Online-Bestellsystems des Versandhauses Quelle war es möglich, auf ein spezielles Profi-Bestellsystem für Betreiber einzelner Quelle-Shops zuzugreifen. Wie die "Wirtschaftswoche" meldet, reichte es dabei aus, bei einer Online-Bestellung die Funktion "Passwort vergessen oder nicht zur Hand" auszuwählen und im anschließenden Fenster statt der eigenen Daten die eines Shop-Besitzers einzugeben - schon war man drin in "Probesy" (Profibestellsystem). Das System begnügte sich bei der Authetifizierung mit Name, Adresse und Geburtsdatum - Informationen, die man sich leicht beschaffen kann. Die Liste sämtlicher Shop-Betreiber mit Namen und Adresse findet sich beispielsweise direkt auf der Quelle-Homepage im "Shop-Finder".

Offen wie ein Scheunentor

In Probesy war es dann möglich, sämtliche Bestellungen des jeweiligen Shops anzusehen und zu ändern. So konnten die Betrüger auf fremde Kosten einkaufen. Entdeckt hatte die Schwachstelle ein Hacker aus Dessau. Quelle hat inzwischen Strafanzeige gegen Unbekannt wegen des "Verdachts des schweren Betrugs in mehreren Fällen" gestellt. Es habe in Folge eines Software-Updates eine "kurzzeitige Lücke im IT-System" gegeben. Daten von Shop-Inhabern und -Kunden seien ausspioniert, manipuliert sowie Waren auf fremde Namen und falsche Lieferadressen bestellt und nicht bezahlt worden, gibt das Unter- nehmen in einer Stellungnahme zu. Unmittelbar nach Bekanntwerden sei der Fehler beseitigt worden.

Quelle-Kunden seien nicht zu Schaden gekommen, wohl aber einzelne Shop-Inhaber. Der wirtschaftliche Schaden bewege sich "im unteren fünfstelligen Bereich", versucht der Konzern zu beschwichtigen. Er beteuert, dass die Firmen Atos Origin und Itellium "alle IT-Systeme per- manent und systematisch auf Schwachstellen überprüfen" und eventuelle Probleme sofort beheben. Diese Maßnahmen seien nun "noch einmal deutlich intensiviert" worden. Laut Quelle-Co-Chef Dirk Seifert soll die Panne "personelle Konsequenzen" haben - welche ist allerdings unklar. (ave)