Exklusiv: Die Bücher der Anderen

500.000 Rechnungen von Libri.de standen mehr oder weniger frei im Netz. Gestern konnten wir testweise innerhalb einer halben Stunde ca. 20.000 davon herunterladen.

Die Bücher der Anderen

Libri.de ist einer der größten deutschen Marktplätze für Bücher und verwandte Produkte. Der B2C-Marktplatz arbeitet u.a. als Dienstleister für rund 1000 lokale Buchhändler, aber auch für Angebote wie shop.spiegel.de. Über die Plattform werden die Bestellungen abgewickelt. Am Dienstag Abend kontaktierte uns ein Leser und berichtete über eine eklatante Datenschutz-Lücke im System von Libri.de. Bei einer Bestellung im Online-Shop wurde ein Link zu einer PDF-Datei an den Kunden verschickt.

Dieser Link sah so aus:

http://www.libri.de/shop/action/account/invoiceDownload?invoiceId=234967

Unserem Leser kam die URL verdächtig vor, er probierte einfach eine andere sechsstellige Zahl aus und fand unerwartet die Rechnung eines anderen Kunden auf seinem Rechner. Daraufhin kontaktierte er uns.

Wir haben uns am Mittwoch Vormittag mit der Situation ausführlich beschäftigt und das ganze ausgetestet. Dabei fiel uns auf, dass die Rechnungen mit der Nummer „4676“ begannen. Diese Rechnung wurde am 29. Mai 2008 ausgestellt. Die Rechnungsnummern gingen hoch bis ca. 500.000. Jede Nummer dazwischen klappte problemlos und jedes Mal kam eine neue Rechnung zu Tage. Wir haben testweise ein Script laufen lassen, was beginnend bei der Nummer „4676“ immer um 1 addiert Rechnungen automatisch nacheinander heruntergeladen hat. Für das Script reichte eine Zeile Code auf der Kommandozeile:

for i in $( seq 4676 24676); do wget http://www.libri.de/shop/action/account/invoiceDownload?invoiceId=$i; done

Dabei konnten wir innerhalb einer halben Stunde knapp 20.000 Rechnungen auf einen Rechner laden, da ein PDF rund 40 KB groß war. (Mit einer schnelleren Leitung und verteilten Rechnern hätte man das beschleunigen können.) Diese haben wir selbstverständlich nach der Aktion wieder gelöscht.

Währenddessen kontaktierten wir den Hamburger Landesdatenschutzbeauftragten und berichteten diesem als verantwortliche Landesbehörde über den Fall. Der dortige Ansprechpartner war sehr erstaunt darüber. Danach kontaktierten wir Libri.de, was erstmal nicht so einfach war. Auf der Webseite gibt es nur kostenpflichtige Kunden-Hotlines und eine externe PR-Agentur als Presseansprechpartner. Irgendwann klappte es über die Zentrale und der Hinweis, dass wir Zugriff auf ca. 500.000 Rechnungen haben, brachte uns schnell die Pressesprecherin ans Telefon. Dieser schilderten wir den Fall und schickten anschließend eine kurze Dokumentation der Lücke mit Anleitung zum selber ausprobieren in ihrem Browser. Die Lücke war unbekannt und konnte aufgrund unseres Hinweises rasch im Laufe des Nachmittages behoben werden.

Was stand in den Rechnungen?

Die Dokumente waren „gewöhnliche“ Rechnungen. Auf diesen stand die Kundenadresse, das Kaufdatum, die gekauften Produkte, Preis, Rechnungsnummer, Kundennummer, der Partner vor Ort (über wlche Buchhandlung man sich das Produkt ausliefern lassen möchte) und die Bezahlungsweise (Keine Kontonummer!). Man konnte also nachvollziehen, welche Bestellungen in den letzten 16 Monaten über Libri.de abgewickelt wurden, was die einzelne Kunden konkret erworben haben und wo sie wohnen.

Welche Brisanz haben die Daten?

Libri.de wirbt mit:

Es gehört zu unseren Grundsätzen, Ihre Daten absolut vertraulich zu behandeln und diese nicht an Dritte weiterzugeben.

Wir hatten wohl Zugriff auf alle B2C-Rechnungen von Libri.de in den letzten 16 Monaten. Diese interessieren nicht nur die Konkurrenz. Bei allen Kunden kann man auch davon ausgehen, dass diese Interesse an Büchern haben. Dazu kann man sich vorstellen, welche Informationen solche Rechnungen enthalten: Wer unter Depressionen oder AIDS leidet, kauft sich vielleicht ein Buch darüber und möchte nicht, dass die Krankheit dem Arbeitgeber oder dem persönlichen Umfeld bekannt wird. Das gleiche gilt für Bücher über Sex-Praktiken. Wenn man von so etwas erfährt, kann man Menschen unter Druck setzen und erpressen. Bücher sind in der Regel auch etwas intimes und damit sind solche Informationen in den falschen Händen ein aussergewöhnlicher Eingriff in die Privatsphäre.

Vertrauenswürdig? Das „S@fer-Shopping-Zertifikat“ der Firma TÜV-Süddeutschland.

Eine zusätzliche Datenschutz-Brisanz erhält der Fall durch ein „S@fer-Shopping-Zertifikat“ der Firma TÜV-Süd AG. Diese Firma wirbt mit für ihre gewerblichen Datenschutz- und Sicherheits-Dienstleistungen mit diesem Zertifikat. Libri.de hat den TÜV Süd als externen Dienstleister beauftragt, die Sicherheit des Online-Stores im Rahmen eines Datenschutz-Audits zu untersuchen. Das für die Firma Libri.de ausgestellte „S@fer Shopping Zertifikat“ erklärt:

„Mit geprüfter Qualität, Sicherheit und Transparenz ist www.libri.de in hohem Maße vertrauenswürdig.“

Auf einer Webseite des TÜV Süd wird für die Zertifizierungs-dienstleistung geworben:

Aktiv Vertrauen schaffen

Qualität und Sicherheit haben für Ihre Kunden höchste Priorität – nicht nur bei der Bezahlung, sondern auch im Umgang mit den persönlichen Daten. Das TÜV SÜD s@fer-shopping-Zertifikat hilft Ihrer Website aktiv, die wichtigsten Bedenken der Kunden auszuräumen und schafft Vertrauen in Ihr Online-Angebot.

Mit dem Zertifikat wird dem Kunden suggeriert, dass es sich um einen besonders sicheren Online-Shop handelt und der TÜV Süd wirbt auf seiner Seite mit der starken Marke, die Vertrauen und Sicherheit an die Käufer des Zertifikats weitergibt.

Kleine Zwischennote: Ich finde die Idee von Datenschutz-Audits gut und sinnvoll. Allerdings muss man sich bei Fällen wie diesem konkrete Fragen stellen und zwar: wie konnte das passieren?

Ein Datenschutz-Audit wird meist durch eine zeitliche Überprüfung einer Plattform durchgeführt. In diesem Fall gibt es zwei Möglichkeiten:

Möglichkeit 1: Dem TÜV Süd ist beim Datenschutz-Audit diese Lücke nicht aufgefallen.
Möglichkeit 2: Die Lücke war beim Datenschutz-Audit noch nicht vorhanden, sondern wurde in Folge eines System-Updates danach eingespielt. Hier stellt sich natürlich die Frage nach dem Sinn und ob diese Audits nicht nach jedem Update neu ausgeführt werden muss.

Man fragt sich nach einer solchen Geschichte, was dieses Zertifikat und die Dienstleistungen von TÜV Süd eigentlich wert sind, auf die sich Libri.de natürlich auch verlassen hat, bzw. ob das Zertifikat etwas wert ist, was einmal zu einem Audit ausgestellt wurde, während eine Plattform evtl. weiterentwickelt wird.

Die Stellungnahme von Libri.de zum Datenleck:

Wir haben mit Libri.de vereinbart, dass wir die Geschichte erst publizieren, wenn die Lücke behoben wurde. Gleichzeitig haben wir Raum für eine Stellungnahme angeboten, in der sich das Unternehmen hier zu dem Vorfall äußern kann:

Libri.de lässt seine Datensicherheit regelmäßig u.a. durch den TÜV prüfen. Die dennoch von Netzpolitik.org identifizierte Möglichkeit pdf.-Rechnungen anderer durch Manipulation der URL anzeigen zu lassen wurde sofort gesperrt. Kundendaten sind nach Analyse der Logfiles nicht in den Umlauf gekommen ebenso waren zu keinem Zeitpunkt Zahlungsdaten von Kunden betroffen. Durch den rechtzeitigen Hinweis von Netzpolitik.org konnte ein möglicher Schaden somit verhindert werden.“

Offene Fragen, die bleiben:

    Welche Konsequenzen ziehen Libri.de und TÜV Süd aus dieser unzulässigen Veröffentlichung von schützenswerten Daten?
    Welchen Grund gab es, überhaupt Rechnungen über einen so langen Zeitraum online zu lassen, ob nun geschützt oder nicht?
    Wer kontrolliert eigentlich Zertifizier-Dienstleister wie TÜV Süd und reicht die Kontrolle aus?
74 Kommentare
  1. instantflorian 29. Okt 2009 @ 9:18
  2. Christoph Wagner 29. Okt 2009 @ 11:52
  3. Alex Schestag 29. Okt 2009 @ 11:55
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden