Datenlücke im Fanshop des 1. FC Köln

Unter fc-fanshop.de findet man den offiziellen Fanshop des Fußball-Bundesligisten aus Köln. Wir haben einen Hinweis auf eine Sicherheitslücke auf der Seite zugespielt bekommen, durch die man fremde Profile übernehmen kann. Für Mitglieder des 1. FC Köln wird automatisch ein Benutzerkonto auf fc-fanshop.de angelegt. Wenn man Club-Mitglied ist, kann man sich dann mit Vor- und Nachnamen einloggen. Als Standardpasswort wird die Mitgliedsnummer verwendet.

Solche Mitgliedsnummern werden immer wieder in Publikationen des 1. FC Köln, etwa der Fanzeitschrift „Geißbockecho“, veröffentlicht. Das betrifft insbesondere prominente Anhänger des Vereins, aber z.B. auch Personen, deren Mitgliedsnummer eine Schnapszahl darstellt.

Mit diesen Informationen kann man Fanshop-Benutzerkonten übernehmen. Wir haben das testweise bei einigen Prominenten getan – Michael Schumacher ist darunter, Guildo Horn und das Ehrenmitglied Pelé. Allerdings konnten wir auch auf die Profile von weniger bekannten Fans zugreifen, deren Mitgliedsnummern aus verschiedenen Gründen im Vereinsmagazin veröffentlicht wurden. In keinem der Fälle war das Passwort geändert worden. Vermutlich ist den betroffenen Personen nicht einmal bewusst, dass ein solches Konto auf ihren Namen existiert.

Auf der Seite konnten wir einerseits Adressen abgreifen. Andererseits war es auch möglich, selbst eine Email-Adresse nachzutragen und dann die Benutzerkonten für Bestellungen zu missbrauchen. Wir hätten Guildo Horn 100 T-Shirts nach Hause schicken können – zahlbar per Nachnahme.

Das Problem war bereits seit zwei Jahren bekannt. Damals hatte unsere Quelle das erste Mal per eMail auf die Sicherheitslücke hingewiesen. Doch nach einem Jahr war das Problem noch immer nicht behoben. Unsere Quelle richtete sich deshalb direkt telefonisch an den 1. FC Köln. Auf eine Versicherung, sich der Angelegenheit zu widmen, folgten allerdings keine Taten. Die Lücke existierte also zwei Jahre lang – erst in Anbetracht unserer Ankündigung, sie zu veröffentlichen, wurde dem gestern Abhilfe geschaffen.

Wir haben vom 1. FC Köln folgendes Statement erhalten:

Der Datenschutz der Mitglieder- und Kunden Daten liegt dem 1. FC Köln sehr am Herzen. Um Missbrauch vorzubeugen und die persönlichen Mitglieds- und Kundendaten zu schützen, haben wir für alle Mitglieder ein neues Passwort für den Zugang zu unseren Online-FanShop erstellt, das zufallsgeneriert wurde. Mitglieder können Ihr neues Passwort ab sofort in unserem Online-FanShop abrufen. Um die Sicherheit und den Schutz der persönlichen Daten zu erhöhen, haben wir unsere Mitglieder – wie zuvor auch – nochmals dringlich darauf hingewiesen, nach Erhalt des neu generierten Passwortes ein neues selbst gewähltes Passwort zu nutzen. Wir denken, dass wir damit einen möglichen Missbrauch beim Mitglieder-Login ausschließen können.

22 Kommentare
  1. Der schlaue Paul 4. Nov 2009 @ 12:04
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden