Libri: Datenpanne weitet sich aus [Quelle: siehe Bildergalerie]
Original-Artikel: 29.10.2009 Nachdem in den letzten Wochen vor allem
Schüler-VZ in Sachen Datenschutz für negative Schlagzeilen sorgte, hat es diesmal den Online-Buchladen Libri.de erwischt. Bis vor Kurzem ist es dort möglich gewesen, durch die Eingabe einer anderen Nummer am Ende der Rechnungs-URL jede beliebige Rechnung anderer Kunden einzusehen. Die Dateinamen jener PDF-Dokumente waren schlicht durchnummeriert.
Die Betreiber der Webseite Netzpolitik.org konnten per Skript testweise bis zu 20.000 Rechnungen herunterladen. Anschließend wurde Libri.de auf dieses Leck aufmerksam gemacht. Auf den PDF-Dateien waren Kundenadresse, Kaufdatum, die gekauften Produkte, Preis, Rechnungsnummer, Bezahlweise, Kundennummern und eventuelle Libri.de-Partner vor Ort hinterlegt. Glücklicherweise führte das Online-Versandhaus die Bankdaten seiner Kunden bisher nicht in den jeweiligen Rechnungen. Dennoch wäre es theoretisch möglich gewesen, nach einer Auswertung nachzuweisen, was ein bestimmter Kunde in den letzten 16 Monaten dort eingekauft hat.
Pikant wird die Sache außerdem dadurch, dass
Libri.de von der TÜV-Süd AG mit einem Safer-Shopping-Zertifikat ausgestattet wurde. Inwiefern die renommierte Prüfungsgesellschaft diese Sicherheitslücke übersehen konnte, ist noch unklar. Immerhin ist das Sicherheitsloch laut der Webseite inzwischen gestopft. Gemäß Libri sind keine "Kundendaten nach Analyse der Logfiles [...] in den Umlauf gekommen".
Weitere Informationen zu dem Fall erhalten Sie auf dem Blog
Netzpolitik.org.
Update: 31.10.2009 Offenbar ist das Ausmaß des Datenlecks bei Libri.de weitaus größer als bisher vermutet. Der Hamburger Datenschutzbeauftragten Johannes Caspar berichtet, dass die von Libri anderen Buchhändlern zur Verfügung gestellten Stores nicht ausreichend geschützt waren. So konnten rund 500.000 Buchbestellungen von Kunden relativ einfach eingesehen werden. Die Lücken seien mittlerweile geschlossen, ein Schaden sei nicht entstanden. Trotzdem: "Die Erkenntnisse dokumentieren ein erhebliches Ausmaß an Unkenntnis und Nachlässigkeit im Umgang mit personenbezogenen Daten und der Datensicherheit", so Caspar.
Mehr News zum Thema Internet: •
Google-Suchmaschine findet nun auch Musik •
Youtube und U2: Größte Live-Übertragung der Internetgeschichte am 25.10 - Update: 10 Millionen Live-Streams •
1,7 Millionen Euro Schaden: Zwei Raubkopierer verhaftet •
Skype bemängelt lautstark Blockadehaltung der Mobilfunkanbieter
Alle Infos zum
Firefox, dem Internetbrowser von Mozilla, finden Sie auf der Themenwebseite. Auch zum
Internet Explorer, dem Internetbrowser von Microsoft, finden Sie alles auf der Themenwebseite. Wenn Sie sich für
Chrome, den Internetbrowser von Google interessieren, sollten Sie die passende Specialseiten anrufen. News, Tests, Downloads und Wissen zu Themen wie
Internet-Browser, Suchmaschinen und soziale Netzwerke finden Sie auf der Internet-Übersichtsseite von PC Games Hardware Online.
PC-Selbstbauer
31.10.2009 15:51
Wer oder was in 3 Teufelsnamen ist libri.de?
Komplett-PC-Käufer
31.10.2009 15:03
Wenn ich das richtig verstanden habe, ist der Grund der zweiten Datenpanne, dass die Standart-Passwörter nicht von den Kunden (Buchhändler) geändert worden sind, obwohl Libri das empfohlen aber nicht erzwungen hat.
Jetzt hat irgendein Buchhändler das Standart-Passwort, das dummer weise wohl für alle gleich war, weiter gegeben an einen Blog oder Presse Menschen.
Meiner Meinung nach sind die Buchhändler die Ihr Standart-Passwort nicht geändert haben genauso an der "Datenpanne" schuld wie der Anbieter Libri.
Edit@SnakeByte: Libri.de ist ein Onlinebookstore like Amazon.de, nur nicht so erfolgreich. Libri ohne .de ist ein Buchgroßhändler der fast alle Buchläden beliefert, sehr erfolgreich. Das Zweite sollte man kennen, das Erste eher nicht.
PC-Selbstbauer
29.10.2009 20:28
Hier meine iTAN liste für alle. Wer zuerst kommt bucht zuerst!!! Aber schön einer nach dem anderen.
..../....
..../....
Ach mist. Hab sie grad nicht bei mir liegen. Ich reiche die aber noch nach. Versprochen!