Ungeschützte Kundendaten in Online-Apotheken

Informatik-Wissenschaftler der Universit?t Bamberg haben in Kooperation mit Journalisten von NDR und WDR eine Sicherheitslücke in den Onlineshops von zahlreichen Versandapotheken aufgedeckt. ?Unbeteiligten w?re es dadurch m?glich gewesen, pers?nliche Daten vieler Kunden auszusp?hen, darunter ihre Bestellhistorie und teilweise sogar Zahlungsdaten“, so Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsph?re und Sicherheit in Informationssystemen der Universit?t Bamberg. Sein Lehrstuhlteam entdeckte das Problem.

Betroffen waren neben gro?en Anbietern wie ?Apotal“ und ?Sanicare“ etwa 170 weitere Versandapotheken. Ihre Onlineshops werden alle von der Firma ?awinta GmbH“ in Bietigheim-Bissingen betrieben, einem führenden Softwareanbieter für Apotheken. ?Nachdem wir uns sicher waren, dass die Lücke ausgenutzt werden kann, haben wir awinta unverzüglich darauf hingewiesen“, erkl?rt Dominik Herrmann. Der Anbieter habe daraufhin schnell reagiert und die Sicherheitslücke auf allen Servern behoben. Nach Angaben von ?awinta“ gab es keine Hinweise darauf, dass die Lücke zu kriminellen Zwecken ausgenutzt wurde, sodass Nutzer keine Angst um ihre Daten haben müssen.

Bei der Sicherheitslücke handelt es sich um sogenanntes ?Session-Hijacking“. Dabei verschafft sich ein Angreifer Zugriff auf die Browser-Sitzung eines anderen Nutzers, der gerade in einem Onlineshop aktiv ist. Durch den Angriff kann der Onlineshop den Browser des Angreifers nicht vom Browser des Opfers unterscheiden. Der Angreifer kann seinem Opfer gewisserma?en über die Schulter schauen und mitunter auch Zugriff auf alle Daten erlangen, die im Kundenkonto hinterlegt sind. ?Expertenwissen braucht man dafür nicht,“ sagt Dominik Herrmann. ?Schon in unserer Einführungsvorlesung zur IT-Sicherheit setzen sich unsere Studierenden mit solchen Angriffen auseinander.“

Internetnutzer h?tten laut Dominik Herrmann auf die Sitzungen zugreifen k?nnen, weil einige Webserver von ?awinta“ nachl?ssig konfiguriert gewesen seien. Jeder Nutzer h?tte eine Status-Seite des Webservers aufrufen k?nnen, die nur für interne Zwecke vorgesehen war. Wer in der Adresszeile den Text ?/server-status“ an den Domain-Namen der jeweiligen Versandapotheke anh?ngte, sah diese Status-Seite und konnte die Sitzungskennungen (Session-IDs) anderer Nutzer unmittelbar auslesen. ?Um sensible Daten eines Kunden auszusp?hen, h?tte ein Angreifer lediglich eine solche Session-ID in seinem eigenen Browser hinterlegen müssen“, führt Dominik Herrmann weiter aus. Dass diese Vorgehensweise praktikabel war, wies er mit seinem Team durch eigens angelegte Testkonten nach. ?berrascht hat Dominik Herrmann der Fund nicht: ?Sicherheitsprobleme durch ?ffentlich abrufbare Server-Status-Seiten gab es in den letzten Jahren h?ufiger. Hoffentlich nimmt awinta unseren Fund zum Anlass, auf allen Systemen systematisch nach Schwachstellen zu suchen.“

Entdeckt wurde die Sicherheitslücke bei Arbeiten am Onlineprojekt ?PrivacyScore.org“, an dem neben Dominik Herrmann und seinen Mitarbeitern auch Forscher der Universit?ten Hamburg und Kassel sowie der Technischen Universit?t Darmstadt beteiligt sind. Unter dem Link privacyscore.org/ k?nnen Internetnutzer und Seitenbetreiber selbst überprüfen, ob eine Webseite g?ngige Sicherheitsmechanismen einsetzt und wie sie im Vergleich mit anderen Seiten abschneidet.

Weitere Informationen über den Lehrstuhl Privatsph?re und Sicherheit in Informationssystemen: www.uni-bamberg.de/psi 

Bild: Dominik Herrmann hat eine Sicherheitslücke in den Onlineshops zahlreicher Versandapotheken entdeckt.(876.7 KB)
Quelle: Saskia Cramm/Universit?t Bamberg

Weitere Informationen für Medienvertreterinnen und Medienvertreter:

188bet亚洲体育备用_188体育平台-投注*官网 für inhaltliche Rückfragen:
Prof. Dr. Dominik Herrmann
Inhaber des Lehrstuhls für Privatsph?re und Sicherheit in Informationssystemen
Tel.: 0951/863-2661
dominik.herrmann(at)uni-bamberg.de 

Medienkontakt:
Patricia Achter
PR-Volont?rin
Tel.: 0951/863-1146
patricia.achter(at)uni-bamberg.de