Exklusiv: Die Bücher der Anderen

500.000 Rechnungen von Libri.de standen mehr oder weniger frei im Netz. Gestern konnten wir testweise innerhalb einer halben Stunde ca. 20.000 davon herunterladen.

Die Bücher der Anderen

Libri.de ist einer der größten deutschen Marktplätze für Bücher und verwandte Produkte. Der B2C-Marktplatz arbeitet u.a. als Dienstleister für rund 1000 lokale Buchhändler, aber auch für Angebote wie shop.spiegel.de. Über die Plattform werden die Bestellungen abgewickelt. Am Dienstag Abend kontaktierte uns ein Leser und berichtete über eine eklatante Datenschutz-Lücke im System von Libri.de. Bei einer Bestellung im Online-Shop wurde ein Link zu einer PDF-Datei an den Kunden verschickt.

Dieser Link sah so aus:

http://www.libri.de/shop/action/account/invoiceDownload?invoiceId=234967

Unserem Leser kam die URL verdächtig vor, er probierte einfach eine andere sechsstellige Zahl aus und fand unerwartet die Rechnung eines anderen Kunden auf seinem Rechner. Daraufhin kontaktierte er uns.

Wir haben uns am Mittwoch Vormittag mit der Situation ausführlich beschäftigt und das ganze ausgetestet. Dabei fiel uns auf, dass die Rechnungen mit der Nummer „4676“ begannen. Diese Rechnung wurde am 29. Mai 2008 ausgestellt. Die Rechnungsnummern gingen hoch bis ca. 500.000. Jede Nummer dazwischen klappte problemlos und jedes Mal kam eine neue Rechnung zu Tage. Wir haben testweise ein Script laufen lassen, was beginnend bei der Nummer „4676“ immer um 1 addiert Rechnungen automatisch nacheinander heruntergeladen hat. Für das Script reichte eine Zeile Code auf der Kommandozeile:

for i in $( seq 4676 24676); do wget http://www.libri.de/shop/action/account/invoiceDownload?invoiceId=$i; done

Dabei konnten wir innerhalb einer halben Stunde knapp 20.000 Rechnungen auf einen Rechner laden, da ein PDF rund 40 KB groß war. (Mit einer schnelleren Leitung und verteilten Rechnern hätte man das beschleunigen können.) Diese haben wir selbstverständlich nach der Aktion wieder gelöscht.

Währenddessen kontaktierten wir den Hamburger Landesdatenschutzbeauftragten und berichteten diesem als verantwortliche Landesbehörde über den Fall. Der dortige Ansprechpartner war sehr erstaunt darüber. Danach kontaktierten wir Libri.de, was erstmal nicht so einfach war. Auf der Webseite gibt es nur kostenpflichtige Kunden-Hotlines und eine externe PR-Agentur als Presseansprechpartner. Irgendwann klappte es über die Zentrale und der Hinweis, dass wir Zugriff auf ca. 500.000 Rechnungen haben, brachte uns schnell die Pressesprecherin ans Telefon. Dieser schilderten wir den Fall und schickten anschließend eine kurze Dokumentation der Lücke mit Anleitung zum selber ausprobieren in ihrem Browser. Die Lücke war unbekannt und konnte aufgrund unseres Hinweises rasch im Laufe des Nachmittages behoben werden.

Was stand in den Rechnungen?

Die Dokumente waren „gewöhnliche“ Rechnungen. Auf diesen stand die Kundenadresse, das Kaufdatum, die gekauften Produkte, Preis, Rechnungsnummer, Kundennummer, der Partner vor Ort (über wlche Buchhandlung man sich das Produkt ausliefern lassen möchte) und die Bezahlungsweise (Keine Kontonummer!). Man konnte also nachvollziehen, welche Bestellungen in den letzten 16 Monaten über Libri.de abgewickelt wurden, was die einzelne Kunden konkret erworben haben und wo sie wohnen.

Welche Brisanz haben die Daten?

Libri.de wirbt mit:

Es gehört zu unseren Grundsätzen, Ihre Daten absolut vertraulich zu behandeln und diese nicht an Dritte weiterzugeben.

Wir hatten wohl Zugriff auf alle B2C-Rechnungen von Libri.de in den letzten 16 Monaten. Diese interessieren nicht nur die Konkurrenz. Bei allen Kunden kann man auch davon ausgehen, dass diese Interesse an Büchern haben. Dazu kann man sich vorstellen, welche Informationen solche Rechnungen enthalten: Wer unter Depressionen oder AIDS leidet, kauft sich vielleicht ein Buch darüber und möchte nicht, dass die Krankheit dem Arbeitgeber oder dem persönlichen Umfeld bekannt wird. Das gleiche gilt für Bücher über Sex-Praktiken. Wenn man von so etwas erfährt, kann man Menschen unter Druck setzen und erpressen. Bücher sind in der Regel auch etwas intimes und damit sind solche Informationen in den falschen Händen ein aussergewöhnlicher Eingriff in die Privatsphäre.

Vertrauenswürdig? Das „S@fer-Shopping-Zertifikat“ der Firma TÜV-Süddeutschland.

Eine zusätzliche Datenschutz-Brisanz erhält der Fall durch ein „S@fer-Shopping-Zertifikat“ der Firma TÜV-Süd AG. Diese Firma wirbt mit für ihre gewerblichen Datenschutz- und Sicherheits-Dienstleistungen mit diesem Zertifikat. Libri.de hat den TÜV Süd als externen Dienstleister beauftragt, die Sicherheit des Online-Stores im Rahmen eines Datenschutz-Audits zu untersuchen. Das für die Firma Libri.de ausgestellte „S@fer Shopping Zertifikat“ erklärt:

„Mit geprüfter Qualität, Sicherheit und Transparenz ist www.libri.de in hohem Maße vertrauenswürdig.“

Auf einer Webseite des TÜV Süd wird für die Zertifizierungs-dienstleistung geworben:

Aktiv Vertrauen schaffen

Qualität und Sicherheit haben für Ihre Kunden höchste Priorität – nicht nur bei der Bezahlung, sondern auch im Umgang mit den persönlichen Daten. Das TÜV SÜD s@fer-shopping-Zertifikat hilft Ihrer Website aktiv, die wichtigsten Bedenken der Kunden auszuräumen und schafft Vertrauen in Ihr Online-Angebot.

Mit dem Zertifikat wird dem Kunden suggeriert, dass es sich um einen besonders sicheren Online-Shop handelt und der TÜV Süd wirbt auf seiner Seite mit der starken Marke, die Vertrauen und Sicherheit an die Käufer des Zertifikats weitergibt.

Kleine Zwischennote: Ich finde die Idee von Datenschutz-Audits gut und sinnvoll. Allerdings muss man sich bei Fällen wie diesem konkrete Fragen stellen und zwar: wie konnte das passieren?

Ein Datenschutz-Audit wird meist durch eine zeitliche Überprüfung einer Plattform durchgeführt. In diesem Fall gibt es zwei Möglichkeiten:

Möglichkeit 1: Dem TÜV Süd ist beim Datenschutz-Audit diese Lücke nicht aufgefallen.
Möglichkeit 2: Die Lücke war beim Datenschutz-Audit noch nicht vorhanden, sondern wurde in Folge eines System-Updates danach eingespielt. Hier stellt sich natürlich die Frage nach dem Sinn und ob diese Audits nicht nach jedem Update neu ausgeführt werden muss.

Man fragt sich nach einer solchen Geschichte, was dieses Zertifikat und die Dienstleistungen von TÜV Süd eigentlich wert sind, auf die sich Libri.de natürlich auch verlassen hat, bzw. ob das Zertifikat etwas wert ist, was einmal zu einem Audit ausgestellt wurde, während eine Plattform evtl. weiterentwickelt wird.

Die Stellungnahme von Libri.de zum Datenleck:

Wir haben mit Libri.de vereinbart, dass wir die Geschichte erst publizieren, wenn die Lücke behoben wurde. Gleichzeitig haben wir Raum für eine Stellungnahme angeboten, in der sich das Unternehmen hier zu dem Vorfall äußern kann:

Libri.de lässt seine Datensicherheit regelmäßig u.a. durch den TÜV prüfen. Die dennoch von Netzpolitik.org identifizierte Möglichkeit pdf.-Rechnungen anderer durch Manipulation der URL anzeigen zu lassen wurde sofort gesperrt. Kundendaten sind nach Analyse der Logfiles nicht in den Umlauf gekommen ebenso waren zu keinem Zeitpunkt Zahlungsdaten von Kunden betroffen. Durch den rechtzeitigen Hinweis von Netzpolitik.org konnte ein möglicher Schaden somit verhindert werden.“

Offene Fragen, die bleiben:

    Welche Konsequenzen ziehen Libri.de und TÜV Süd aus dieser unzulässigen Veröffentlichung von schützenswerten Daten?
    Welchen Grund gab es, überhaupt Rechnungen über einen so langen Zeitraum online zu lassen, ob nun geschützt oder nicht?
    Wer kontrolliert eigentlich Zertifizier-Dienstleister wie TÜV Süd und reicht die Kontrolle aus?

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

129 Ergänzungen

  1. Wie kann man als Shopbetreiber, -programmierer und / oder TÜV denn bitteschön so blind sein und diesen Fall nicht sehen (wollen).

    Einen Rechnungslink mit hochlaufender ID zu verschicken, ist schon kriminell dämlich.

  2. Mich würde mal interessieren, wie die Lücke gestopft wurde ohne das im Hintergrund der ganze Workflow umgestellt werden muss. Natürlich kann man jetzt an den Link eine Zufallszahl dranhängen, aber dann kommt man mit Brute Force immer noch an mehrere Rechnungen. Und einen größeren Umbau haben die an einem Nachmittag nicht geschafft. Ich denke, dass jetzt gerade mal einfach alle Rechnungen hier gelöscht wurden. Wir komme ich eigentlich jetzt als Kunde von letzter Woche an meine Rechnung?

    Die Armen haben da bestimmt noch etwas Stress die nächsten Tage :)

  3. sag mal wie dumm ist das denn bitte?? was ein bockmist!

    @Stefan
    ja richtig mit bruteforce. nehmen wir zum beispiel GUIDs… aber hier ist ja eig. jeder versuch ein treffer und das auch noch fortlaufend :D

    heilige sch******e

  4. Ganz ehrlich, wen wundert das?

    Diese ganzen safer@shopping etc. Zertifikate sind doch nur darauf ausgelegt schnell viel Geld zu verdienen. Sie sind wahrscheinlich auch preiswerter im Vergleich zu einem Audit durch einen richtigen Web-Sicherheits-Experten.

    Die Audits des Tüv lösen unter Sicherheitsexperten lediglich Lachkrämpfe aus. Tja Libri.de das nächste mal geht man einfach zu einem Experten und nicht zu so nem Verein wie dem Tüv, der Zertifikate als Massenware ausspuckt, nur um eine schnelle Mark zu machen.

  5. Stellt sich die Frage, ob das Shop-System mit dem Sicherheitsloch eine Libri-Eigententwicklung ist und/oder noch auf weiteren Seiten zum Einsatz kommt, die dann auch betroffen sind.

    Passend: Der Icon unten rechts auf der Libri-Seite
    http://twitpic.com/nd78q

  6. zum Thema Audits:

    Ich bin von der Effizienz und Sinnhaftigkeit von Audits in keiner Weise überzeugt — ich kenne TÜV-Audits aus einen anderen Breich (Qualitätsmanagment: ISO 9001 Zertifizierung). Die auditierte Firma ist meist nicht an einer möglichst umfassenden Kontrolle Ihrer Standards interessiert, sondern an einem Erwerb bzw. Bestätigung des Zertifikats, da man damit werben und evtl. auch Einkaufsvergünstigungen etc. erhalten kann.
    Dies führt dazu, dass im Vorfeld eines Audits alles getan wird, um mit möglichst geringem Aufwand einen guten Eindruck auf den PRüfer zu machen — im Extremfall ist das Ganze dann nichts anderes als ein potemkinsches Dorf.

    Auf der anderen Seite stehen Prüfer des TÜV, welche meist sehr starr an Formalismen festhalten und damit der Firma sinnvolle Optimierungen von Prozessen, welche in konkreten Situationen Probleme einfach und effizient lösen lassen praktisch verbieten.

    Um wirklich effektiv am Ziel zu arbeiten, sei es optimaler Datenschutz oder Qualitätsstandard, benötigt es Management und Mitarbeiter, die ein Problembewusstsein für die Themenstellung haben und motiviert sind, den Status Quo zu optimieren. Dies erreicht man meiner Meinung nach vor allem, indem man diese Mitarbeiter in geeigneter Weise am Erfolg der Optimierung (finanziell) teilhaben lässt.

    Audits und Gütesiegel verkommen in vielen Fällen zu reinen Blendgranaten, mit denen sich das Management brüsten kann und die dem Kunden eine Qualität suggerieren, die oftmals gar nicht vorhanden ist.

  7. @Stefan
    Man kann den Zugriff an Sessions knüpfen die natürlich einen vorherigen Login benötigen. Wie der Aufwand dafür bei dem konkreten System ist, kann ich nicht genau sagen, insgesamt sollte der aber relativ klein sein.
    Dass das hier vorher nicht gemacht wurde, erstaunt mich etwas, schließlich gehört es zu den absoluten Grundlagen der sicheren Programmierung, bei kritischen Anwendungen die Parameterübergabe in der URL vermeidet und die Parameter auf Korrektheit überprüft. Auch dass man Zugriffsberechtigungen nicht ausschließlich über die GUI regelt, gehört zu den absoluten Grundlagen der sicheren Programmierung. Da muss man sich wirklich fragen warum dem TÜV das nicht aufgefallen ist…

  8. warum nicht gleich publiziert um die Verbraucher zu schützten? Möchte nicht wissen wie viele Rechnungen jetzt schon auf verschiedenen Festplatten schlummern. So ein Datenleck fällt ja nicht nur einem auf der gezielt sucht. Das wäre sogar mir aufgefallen…
    m.E. wäre richtig gewesen: Betreiber anrufen und Problem schildern, Angabe zur geplanten Veröffentlichung in ca.30min machen und dann die Kunden waren.
    Aber typisch deutsch: Erst ruft man mal bei einem Amt an…

  9. @Frank:

    Es gibt durchaus Web-Sicherheits-Buden die sinnvolle Audits machen: Also kein PCI oder ISO Crap. (Ich werde hier keine Namen nennen). Aber bei denen kriegt man in der Regel kein Zertifikat, weil so ein Zertifikat Unsinn ist.

    Beispiel: Kunde lässt sich auditieren und einen Tag nach Abschluss des Audits spielt er neue Features ein, oder installiert neue unsichere Software. Da macht ein Audit nicht viel Sinn.

    Aber du hast schon recht: Bei diesen ganzen PCI/ISO Audits wird nur eine schlechte Checkliste durchlaufen und das wars dann. AFAIK geht das beim Tüv sogar so, dass die Dir nur einen Fragebogen schicken und Du mustt beantworten ob Du die jeweiligen Dinge umgesetzt hast.

  10. Tja ich würde mal sagen, hieran sieht man wieder, dass Faulheit immer siegt. Allein aus Unternehmensgründen hätte ich schon keinen ZÄHLER für sowas benutzt. Der ist ja allein schon Informationsträger (wieviele Rechnungen/Verkäufe hat Libri letzten Monat gemacht).

    Eine schöne Zufallszahl kombiniert mit einem verhex’ten oder verhash’ten Zähler hätte das wohl deutlich erschwert. Besser noch, wenn man im Browser den Cookie auch checkt, bevor man einfach so ausliefert.

    Denke die Dunkelziffer bei sowas liegt ziemlich hoch. Das ist kein Einzelfall. Aber schon wirklich selten… dumm.

  11. Warum das „trotz Audit“ passieren konnte?

    Schaut man sich vergleichbare QM-, Arbeitssicherheit, Umwelt- oder sonstige Audits an, dann wird das schnell klar: Einzig der hohe Marketingwert eines Logos ist entscheidend! Je nach Unternehmensgröße verfallen die Auditverantwortlichen 1 Woche bis 1 Monat vor dem vereinbarten Audittermin in hektische Betriebsamkeit, um die Unterlagen in einen auditfähigen Zustand zu bringen. Dem Personal und der Geschäftsführung ist es meistens schnurz, ob es stimmt, was darin steht. Im Jahresrest ist eh nur der Umsatz wichtig (bzw., dass das Schmerzensgeld, a.k.a. „Gehalt“, pünktlich auf dem Konto ankommt).

    Und die Auditoren bzw. die akkreditierten Prüfunternehmen? Bekommen unverschämt hohe Honorare, weil natürlich hochqualifizierte Berater tageweise vor Ort „beschäftigt“ sind. Und weil man das gerne auch nächstes Jahr wieder einfahren möchte, wird dem Kunden nun nicht unbedingt hart vor den Koffer geschissen. Meist bleibt es bei einem „Du-du-du“, gewürzt mit ein paar Auflagen. Und das war’s! Korrigierte Dokumente werden gerne nachgereicht. Eine große Geldmaschine! Die klassische „Win-Win-Fail-Situation“: Unternehmen-Prüfer-Kunde…

    Mich wundert eigentlich, dass nicht noch viel mehr passiert; oder eher: ich habe ein sehr ungutes Gefühl bei dem Gedanken daran, was alles NICHT an die Öffentlichkeit dringt…

  12. So Lücken tun echt weh. Ich dachte schon, XSS Attacken wären so langsam verstanden, aber das ist ja geradezu hochkomplex im Vergleich zu dieser Lücke. Ohne Authorisierung und dann noch mit einer hochlaufenden Zahlen statt eines zufälligen Keys. Mannometer. Das ist direkt dreifach dumm.

    Weiss jemand, wer das programmiert hat?!?

    Dass der TÜV darauf einen Siegel gibt wundert mich nicht. Mit etwas Glück sorgen die Dokumentationspflichten jetzt dazu, dass man den schuldigen (Praktikanten) findet.

    Ansonsten sind die Safer Web etc. Siegel genauso witzlos wie die Siegel, die der TÜV im Bereich Finanzen vergibt. Da gibt es auch TÜV-Siegel für Firmen, die bei der Börse Online auf der Liste der Firmen des grauen Kapitalmarkts stehen (also mit relativ hoher Wahrscheinlichkeit unseriös sind).

  13. Zwei Dinge schmerzen:
    – dass keine Prüfziffern verwendet werden
    – dass keine Sperre bei sehr vielen Anfragen von einer Quelle aus erfolgt
    Einen Link anzubieten, der ohne Login erreichbar ist, kann man ja noch durch die Balance zwischen Nutzerakzeptanz und Sicherheit begründen, aber das ist wirklich beides daneben

  14. Wie ist die rechtliche Lage, wenn man so etwas aufdeckt? Ein Kollege meint hier, dass sei schon „Ausspähen von Daten“ gem. §202a.

  15. @22: ich habe mich auch schon beim MeinVZ-Ding gefragt, warum zuvor niemand an einen Zähler der Zugriffe von einer IP gedacht hat?! Bei ’sensiblen‘ Datenabfragen sollte doch so etwas das Minimum sein.
    Gegen Botnetze o.ä. hilft es vermutlich recht wenig, aber gegen simple Shellskripte…

    @23: hmmm, gute Frage…
    allerdings wenn ich hämisch wäre, würde ich sagen, dass der Zusatz mit der „besonderen Sicherung“ den Tatbestand hier ausschliesst ;)
    „…die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind…“

  16. @saibot:

    Warum das nicht gleich veröffentlicht wurde? Eben um jene Kundendaten zu schützen! Veröffentlichst du die Lücke direkt, kommen ganz viele Spinner an und ziehen sich einfach mal alle Rechnungen. Entweder, weil sie es können (unsere beliebten Internet-Messies) oder weil sie damit Schindluder treiben wollen.

    Warum man zum Datenschutzbeauftragten rennt? Weil es sein Job ist, sich um sowas zu kümmern! Weil er ggf. rechtliche Schritte gegen Libri einleiten kann, damit so eine Dummheit auch richtig weh tut. Und vielleicht überprüft dieser ja auch gleich noch die Auditkriterien des TÜV.

    Ich empfinde die Vorgehensweise Datenschutzbeauftragten Informieren > Unternehmen informieren und zeit zum Fixen geben > Wenn die Lücke gefixt ist, oder eine bestimmte Zeit verstrichen ist veröffentlichen genau die richtige.

    Alles andere wäre in meinen Augen unverantwortlich!

    Stell dir mal vor, da hätte so ein Spinner oder gar gewerblicher Datensammler deine Rechnungen über Käufe von $wasauchimmer-Büchern. Unangenehm?

  17. @ Beate:

    Das “Trusted Shop“ Logo ist doch sowieso genauso Mumpitz wie der Rest. Beim Onlineshop http://www.calumetphoto.de, der sich gleich mit einer ganzen Batterie solcher Logos eingedeckt hat, kriegt man mit dem Klick auf den Link „Passwort vergessen“ gleich sein Passwort im Klartext per Email zugeschickt. Das sagt doch unheimlich viel darüber aus, wie die in der Datenbank gespeichert sind, oder ?

  18. @23 Lars:
    Es ist ausspähen von Daten, wenn man an einem schwarzen Brett nicht den an sich gerichteten Zettel ansieht, sondern auch einen anderen?

  19. Als Programmierer kann ich euch mal erklären wie sowas läuft:

    1. Vorgabe:

    Verschicken der Rechnung als PDF

    Programmierer macht das, pdf werden erstellt und gelöscht.

    2. Vorgabe:

    Wäre ja nett wenn wir ne Kopie hätten zum Notfall.

    Programmierer sagt, das die Daten ja in der Datenbank stehen, aber der Entscheider will schnellen Zugriff. Deshalb werden die lokal gespeichert.

    Programmierer wechselt

    3. Vorgabe:

    Wäre ja nett wenn die Kunden auch später noch nachschauen könnten. Die Dinger haben wir ja ehh online.

    Ursprungsprogrammierer nicht mehr da und irgendein Schlaukopf sagt, das kann ich mal eben einbinden….

    War wahrscheinlich für internen Gebrauch vorgesehen und deshalb ohne jedweden Schutz.

  20. Ich fände es durchaus begrüßenswert, wenn der TÜV Süd zu diesem Vorfall eine offizielle Stellungnahme abgeben würde.

  21. @23: Aus eigener Erfahrung kann ich dir sagen, dass der Tatbestand hier tatsächlich schon erfüllt ist… ;)

  22. @Markus: und das Beste „Trusted Shops“ bekam gestern bei Galileo in einem Vergleich objektiven Test-Organisationen noch den ersten Platz (Stiftung Warentest wurde 2.). Zum die Hände über den Kopf zusammenschlagen.

    @Netzpolitik: Mein Kompliment für die konsequente Einhaltung, zuerst Libri die Möglichkeit zu geben, die Lücke zu beheben!

  23. Ich denke, das diese Lecks bewusst gemacht werden, um für die Zukunft Grundlagen für eine Neuauflage des Internets zu haben. Ist es nicht merkwürdig, das in den letzten Monaten immer wieder solche Aktionen ans Licht kamen?

    Weiterhin glaube ich, das den Menschen das Internet als Gefahrenquelle madig gemacht werden soll. „Das böse Internet, da halten sich nur komische Leute auf, Nerds, Digital Natives diese MOF s.“ So in etwa.

    Also für mich ist das alles ein abgemachtes Spiel. Nährboden für MAD, BND und UdvL.

    Könnt mich gerne korrigieren, wenn ich da falsch liege.

    1. @Pallermo: Du liegst falsch. Die vielen Datenskandale haben eher mit einem gesteigerten Bewusstsein für Datenschutz zu tun. Mehr Menschen sind wachsam und auch die Medien reagieren sensibler auf solche Fälle als früher.

    2. @33 Pallermo: Nö, da sammeln sich halt die üblichen Fehler, die so auftreten, wenn man schlecht bezahlte Leute (Stichwort: Outsourcing) unter zu großem Zeitdruck an Projekte setzt. Da fällt eben schonmal die eine oder andere Sicherheits- oder Datenschutzmaßnahme unter den Tisch. Hauptsache, dem Chef gefällt’s erstmal, der Rest ist egal, wird ja auch nicht bezahlt.

      Gruß, Frosch

  24. @33
    hmmmmm, eine unglaublich komplizierte Verschwörung, die über lange Zeit elendig viele Menschen einbindet, die alle völlig verschwiegen sein müssen…
    …oder Menschen, die prinzipiell nett, aber faul, nachlässig, ignorant, selbstüberschätzt, die durch hunderte Meetings von jedem Entusiasmus/Idealismus befreit wurden, oder manchmal einfach nur doof sind

    Ich würde auf Option zwo tippen

  25. Meine Erfahrungen auf Händler Seite sind: Irgendwelche Prüfsiegel auf Websites sind absolut unsinnig. Überprüfungen sind meist ein Witz und regelmäßig gibts nicht.

  26. @sailbot:

    > warum nicht gleich publiziert um die
    > Verbraucher zu schützten?

    Wie bitte? Eine Publikation VOR einer Behebung des Problems siehst du als Verbraucherschutz an? Nein,das wäre kein Schutz der Verbraucher, sondern unverantwortlich! So kann man immer noch darauf hoffen, daß die Lücke bisher nicht ausgenutzt wurde. Mit Publikation vor einer Behebung wird eine solche Lücke in MINUTEN ausgenutzt!

    Es ist üblich, einem Anbieter bei Sicherheitslücken erst die Chance zur Behebung und zur Stellungnahme zu geben, ehe man publiziert. Und das ist gut so, auch und vor allem im Sinne des Schutzes der Verbraucher vor Exploits der Lücke.

  27. Ich bin zwar nur indirekt Kunde bei libri.de, nämlich über eine Buchhandlung die libri.de als Dienstleister nutzt. Aber trotzdem kommt mir beim Lesen dieses Artikel die Frage auf, „Bin ich als Kunde nur gut, wenn ich für Umsatz sorge, oder warum wurde ich nicht von der Buchhandlung und/oder libri.de über den Vorfall informiert?“.

  28. Die Reihenfolge „bei zuständigem Datenschutzbeauftragtem melden, beim Unternehmen melden, öffentlich machen“ ist sicherlich sehr sinnvoll. Auch dem TÜV oder anderen Sicherheitsdienstleistern sollte soetwas gemeldet werden, bzw. kann es nicht schaden, öffentlich darauf hinzuweisen, ob der Dienstleister das hätte merken müssen oder ob die einzelne Lücke gar nicht in seinem Prüfprogramm erfasst wird.

    Was ich noch schade finde: Libri weißt auf die Lücke nicht hin. Wie Erika (Beitrag 48) schreibt, werden die betroffenen Kunden scheinbar nicht per E-Mail informiert, und auch auf der Website findet sich keine prominente Information dazu, auch nicht unter dem Punkt „Datenschutz“. So etwas sollte geschehen, man könnte auch über eine gesetzliche Verpflichtung dafür nachdenken.

    Was mich noch interessiert: Wurde netzpolitik.org schon einmal gedroht, Probleme wegen „Ausspähens von Daten“ oder ähnlichem zu bekommen?

    Und weiter: Habt ihr Angebote bekommen, die Vorfälle nicht öffentlich zu machen?

    1. @Shopper: Angebote, die Vorfälle nicht öffentlich zu machen, haben wir noch nicht bekommen. Aber diese würden wir auch nicht annehmen.

  29. @sailbot:

    > warum nicht gleich publiziert um die
    > Verbraucher zu schützten?

    Genau das hätte die bisher unbekannte Lücke bekannt gemacht – und somit erst richtigen Schaden verursacht.
    Netzpolitik hat richtig gehandelt, somit bleibt es bei einem Imageschaden für Libri.de und deren Programmier [Firmenname gelöscht – Die genannte Firma hat damit wohl nichts zu tun] – allemal besser, als wenn durch die Publikation alle Daten in Umlauf gekommen wären.

  30. Klingt zwar nach Law & Ordner, aber zum Schutz von Kundendaten wäre es eigentlich sogar die einzig sinnvolle Möglichkeit:

    Wenn ihnen eine Sicherheitslücke bekannt ist, betreiben die betroffenen Unternehmen ja bewusst ein unsicheres System und bieten folglich bewusst und illegalerweise geschützte Daten an. Logische Folge müsste sein, dass die Unternehmen sofort alle betroffenen Systeme herunterfahren müssen, im ungünstigsten Fall eben unverzüglich den gesamten Onlineshop. Ansonsten machen sie sich womöglich strafbar. Während der Downtime haben sie die Möglichkeit, ihr System zu reparieren oder teilweise zu deaktivieren, danach können sie alle sicheren Teile weiterbetreiben.

    Eine Sauerei, wenn das nicht so gemacht wird. Markus, kannst Du etwas dazu sagen, ob bzw. wie lange Libri und Studivz wissentlich unsichere Systeme betrieben haben, obwohl sie andererseits wussten, dass es Menschen gibt, die diese Lücken kennen?

  31. Durch simple Eingabe fortlaufender Zahlen in die Adresszeile konnte jeder sämtliche Rechnungen der letzten 16 Monate runterladen? Und das im Jahr 2009? Und auch noch unter dem Label zertifizierte Sicherheit?

    Kann man die Leute von Libri.de, die so leichtfertig mit den Daten ihrer Kunden um sich werfen, nicht belangen?

  32. „libri wirbt mit: ‚Es gehört zu unseren Grundsätzen, Ihre Daten absolut vertraulich zu behandeln und diese nicht an Dritte weiterzugeben.'“

    Damit meinen die sicher dass sie die Kundendaten (wer wann was für wieviel gekauft hat) nicht absichtlich (an Spammer etc) weiterverkaufen. Mehr nicht.

    Der Tüv zertifiziert mit seinem Zertifikat sicher nur (ausschließlich) die Sicherheit des Bezahlvorgangs an sich. Mehr nicht.

  33. Wie käuflich ist der TÜV?
    Diese Zertifikate sind sehr teuer, aber scheinbar nutzlos.

    So hat auch der Vergleichsanbieter Check24 ein Tüv Siegel für Datensicherheit.
    Nur wie sicher ist diese Anwendung? Man gibt SSL verschlüsselt seine Kreditrelevanten Daten ein, aber den Kreditantrag bekommt man erst einige Zeit später per Email zugeschickt. Wie sicher ist nun die Email? Scheinbar für den Tüv sicher genug.

  34. @10/Saibot: „warum nicht gleich publiziert um die Verbraucher zu schützten?“

    In diesem Fall wohl einfach: Durch eine frühzeitige Veröffentlichung würden weit mehr mit dem Server spielen als bisher Kenntnis hatten. Und ja, natürlich informiert man erst den Verantwortlichen (und von mir aus das zuständige Amt), wen auch sonst? Die Leute mögen bitte ihre Jobs machen.

    @23/Lars & 31/fukurokuyu: §202a sagt: „Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, […]“

    Von einer besonderen Sicherung konnte im vorliegenden Fall nicht die Rede sein.

  35. @Andragon: „War wahrscheinlich für internen Gebrauch vorgesehen und deshalb ohne jedweden Schutz.“

    Nee, für den internen Gebrauch im Kundenservice und in der FiBu wird (in einer getrennten Applikation) on demand aus der DB mit einer Session-(und somit autorisierungs-) gebundenen URL generiert.

    Um mich mal zu outen:
    Ich war da bis vor 19 Monaten IT-Leiter.
    Aber damit hab ich nix zu tun!!
    Diesen Schwachsinn mit Rechnungsdownload über uncrypted URIs muss sich irgendein Wahnsinniger nach meiner Zeit ausgedacht haben.

    Zur eventuell weiteren Beruhigung also:
    Den zurecht bemängelten Zustand gab es nicht allzu lang.

  36. @62/Jörg-Olaf Schäfers:
    Ist das eine juristische Einschätzung oder eine intuitive? Denn die Grenze kann man ja beliebig ziehen. Auch die Abänderung einer URL ist ja eine Hürde, die man überschreitet.

    Zu meiner Frage von vorhin noch einmal: Habt ihr schon einmal juristische Konsequenzen angedroht bekommen, weil ihr eine Lücke veröffentlicht habe, nachvollzogen habt oder ähnliches?

    Und wie lange haben die beteiligten Unternehmen ihre Server inklusive Sicherheitslücken weiterlaufen lassen?

    Danke für Eure Arbeit! Anscheinend seid ihr ja gerade schon wieder mit weiteren Datenlecks beschäftigt…

    1. @Shopper: Wir haben noch nie juristische Konsequenzen wegen der Dokumentation einer Lücke angedroht bekommen. In solchen Fällen informieren wir in der Regel erstmal den Betreiber und lassen Zeit für das Beheben der Lücke. Bei der ersten SchülerVZ-Sache sind wir anders vorgegangen, das lag aber auch daran, dass die Lücke im Netz seit langer Zeit oftmals dokumentiert war und nichts passierte.

      Wir haben bisher erst einmal eine Abmahnung bekommen, als uns die Deutsche Bahn AG mit Klage drohte, weil wir ein Dokument ihres Datenskandals online gestellt haben. Dabei ist die Bahn aber schnell eingeknickt.

  37. # 62 „Von einer besonderen Sicherung konnte im vorliegenden Fall nicht die Rede sein.“

    Vielleicht ist das ja wie beim Kopierschutz: Es ist verboten einen wirksamen Kopierschutz zu überwinden – aber wenn man dem Kopierschutz überwinden kann ist er ja nicht wirksam – oder?

    Merke: Zwischen dem was ist (oder so scheint) und dem was ein Richter sieht kann ein Zusammenhang bestehen, muss aber nicht.

  38. „dass wir Zugriff auf ca. 500.000 Rechnungen haben, brachte uns schnell die Pressesprecherin ans Telefon.“

    Die Pressesprecherin?! Nicht den Verantwortlichen für Datensicherheit oder so?

    Darf man daraus schließen, daß Datenlecks für Libri in erster Linie ein PR-Problem sind?

  39. @Jörg (64): […]Von einer besonderen Sicherung konnte im vorliegenden Fall nicht die Rede sein. […]

    Wie bereits erwähnt: Aus eigener Erfahrung(!) kann ich mit Sicherheit sagen, dass man sich diesen Zusatz nicht so drehen kann wie man will. Wenn ich auf Daten zugreife, die nicht für mich bestimmt sind, und die ich durch Manipulation von Eigaben (hier die URL) für mich zugänglich mache, dann greift der Paragraph auf jeden Fall. Ganz gleich, wie schlecht die Sicherung (in diesem Fall nur eine ID) ist. Mal ganz davon abgesehen ist ja auch der Versuch sich auf geschützte Inhalte Zugriff zu verschaffen schon strafbar. Und das ist ja auch schon dann der Fall wenn ich überprüfe, ob ich durch Manipulation der ID an eine andere Rechnung komme.

  40. @Andi:

    Galileo (etc) sind ja Schrott. Dummerweise glauben viele Leute das …

    Wie mit dem TÜV Siegel halt auch. In der Finanzkrise regen sich alle über die Ratingagenturen auf, die ja viel zu gute Noten für viel zu schlechte Anleihen vergeben haben. Aber das ist das grundsätzliche Problem an Ratings: Spätestens wenn Konkurrenz entsteht (wie z.B. bei den Unmengen von „sicherer Laden“ Siegeln), beginnt ein Wettbewerb nach unten. Merke: Man verdient nur Geld mit der Vergabe von Siegeln, nicht mit der Nichtvergabe … (Übrigens kann der Wettbewerb nach unten auch durchaus ohne viel Konkurrenz entstehen. Den Anreiz möglichst viel zu zertifizieren besteht ja immer. So bald die Konkurrenz groß genug ist, ist der Quaitätswettbewerb nach unten aber zwangsläufig …)

  41. Gab es nicht eine identische Lücke (Zugriff auf fremde Rechnungen durch ändern der URL) bei einem größeren Telefonanbieter vor einiger Zeit? Unglaublich das sich Unternehmen dieser Größe immer mal wieder solch einen Lapsus erlauben.

    Ob man dem TÜV an dieser Stelle einen großen Teil der Schuld so einfach zuweisen kann, wage ich zu bezweifeln. Meiner Meinung nach muss man unterscheiden zwischen der Überprüfung des Gesamtkonzeptes Online Shops (etwa: gibt es einen Datenschutzbeauftragten, sind AGBs an den richtigen Stellen mit dem korrekten Inhalt, wie wird intern mit Daten umgegangen, …) und dem gezielten Finden von Sicherheitslücken. Letzteres gehört definitiv nicht zum Zertifikat vom TÜV und wird auf deren Seite auch nicht \angepriesen\. Das ist Aufgabe des Datenschutzbeauftragten oder eines weiteren externen Dienstleisters.

  42. Mal ganz ehrlich, was erwartet ihr von einem Buchhändler? Buchhändler verkaufen Bücher, das ist ihr Job. Das hat mit Sicherheit und Datenschutz nichts zu tun, das Libri den TÜV beauftragt, ist sehr redlich, denn Libri kann die Arbeit von Freiheit.com nicht prüfen, also macht der TÜV Süd das.

    Diese Art der Lücke, wurde schon bei E-cards, Webpostkarten bemängelt, überall wo Daten über einen Index abgerufen werden, und es keinen Kontext durch das zustandslose Protokoll gibt, ist es möglich Daten auszulesen.

    Selbst wenn man einen zweiten Index mit einer Einwegfunktion oder ein Limit für die Anzahl der Anfragen implementiert, ist es möglich
    Daten abzurufen.

    Dabei ist die Prüfung verhältnismässig trivial, man prüft ob die derzeitige Sitzung den Inhaber der Rechnung authentifiziert. Das ist alles, wahrscheinlich hat das der Praktikant bei Freiheit.com, oder es war einer der Pioniere auf dem Gebiet, die dürfen solche Fehler machen.

    Die Schuldzuweisung an den TÜV finde ich gerechtferigt, nach Eigenaussage:

    TÜV – eine der bekanntesten Marken überhaupt in Deutschland. Umfragen zeigen dies immer wieder. Drei Buchstaben stehen für Sicherheit, Zuverlässigkeit und Neutralität.

    Ich werde nie verstehen wie eine Marke das alles leisten soll, das ist einfach nur Marketing, und das ist was das Siegel bedeutet, früher nannte man das Ablasshandel.

  43. Zitat: Ein Sprecher des TÜV Süd sagte dem SWR, in einem dynamischen Medium wie dem Internet könne man trotz Prüfung nicht für eine hundertprozentige Sicherheit garantieren. Der Hamburger Datenschutzbeauftragte Casper forderte eine gesetzliche Regelung, was zu testen ist, bevor solche Zertifikate ausgegeben werden dürfen. -Zitatende-

    Ich komme für mich zu dem Schluss, das die Aussage das Sicherheit ein fortlaufender Prozess ist (und immer war), der durch Zertifikate nicht gewährleistet werden kann. Daran wird auch eine gesetzliche Regelung nichts ändern. Der Interview im SWR (von m. 79) zeigt das weder der Datenschutzbeauftragte noch der TÜV wissen wo von sie da reden, eine Schuldzuwesiung des TÜVs an das Medium Internet zeigt damit auf, das eine kontinuierliche Prüfung auf Datensicherheit nicht stattfindet.

  44. @ michael (14) hab ich genauso erlebt. der aufgescheuchte hühnerhaufen namens abteilung macht 3 wochen vor dem audit klar schiff, die herren berater kommen für 3, 4 tage vorbei, lassen sich bestens verpflegen, machen eine ’schulung‘, in der man selber lesen darf, und das war’s.zertifiziert wird letztlich der schrott, den andere gebaut haben. und wenn man nachher in die ‚dokumentation‘ guckt, steht garantiert nicht das drin, was man bräuchte.
    @ Andi (32) auf welchem sender lief nochmal ‚galileo‘?
    @und sonst noch? (38) markus hat, glaube ich, nur 20.000 sätze runtergeladen.
    @dirk (65) – nicht allzu lang? 16 monate?!
    alles in allem ein trauerspiel.

  45. Neben Libri, die den Shop wohl selber entwickelt haben, befindet sich auch noch Spiegel-Online mit seinem Shop bei Libri, und etliche andere. Libri wirbt ja damit. Stellt sich die Frage, ob eine neue Version der Shopsoftware da schweren Fehler hat, bzw. gehabt hatte.

  46. TÜV-Zertifizierungen werden für viel Geld unter der Hand gekauft (ja, ich habe Informationen aus erster Hand), die TÜV-Prüfer interessiert es einen feuchten Kericht, ob das überprüfte Objekt sicher ist oder nicht, und die Leute, die beim TÜV und ähnlichen Halbbehörden arbeiten, sind genauso ahnungslos und rightout dämlich wie die meisten Softwareentwickler, die solche Webapplikationen entwickeln.

    Das einzige, wo der TÜV noch „böse“ ist, ist beim 2-jährlichen Autobesitzerabzocken, da kann sich der deutsche Michel nämlich der staatlichen Fürsorge nicht erwehren.

    Es grüßt

    Alexander Ewering
    CEO instinctive mediaworks

  47. Das Rumgehacke auf dem TÜV ist albern. libri.de hat die Bugs gemacht, die sind verantwortlich.

    Wir leben im 21. Jahrhundert, da macht man solche Fehler einfach nicht mehr. Leute die das wissen kosten halt leider scheinbar etwas mehr oder die Suche nach ihnen dauert länger.

    Und überhaupt, solange die Daten der Nutzter nichts wert sind, wert im Sinne von „Woah! Jetzt klage ich libri.de aus dem Geschäft, 500.000 mal, die machen keine Website mehr auf…“ passiert das immer wieder. Haftung. Haftung. Haftung.

  48. zu #88: solche ereignisse einfach mal so auf ‚dämliche software-entwickler‘ abwälzen kann es irgendwie auch nicht sein.

    zu einer ordentlichen entwicklung gehören auch eine test/qs-phase und bei solchen daten eben auch mit schwerpunkt auf security.

    der entwickler hat meist schon die nächste anfrage auf dem tisch und ist erstmal froh wenn es läuft. und wenn man es so will, ist das ‚dämlich‘. noch dämlicher ist es davon auszugehen, dass irgendwer schon alles richtig machen wird.

    aber es stimmt, security wird beim entwickeln oft sehr vernachlässigt. wie wichtig das thema ist und was man alles falsch machen kann, wird aber auch kaum ‚gelehrt‘. das lernt man als entwickler nur wenn man viele viele artikel im web liest. und das machen viele nicht.

  49. #91 aleks: Ich moechte auf keinen Fall sagen, dass ich „perfekt“ bin.

    Ich habe aber unter anderem ein sehr umfangreiches (kommerzielles) CMS entwickelt, und hier geht es ganz offensichtlich nicht um mangelnde Security-Audits und auch nicht um ein hochesotherisches Buffer-Overflow-blabla Problem, sondern es ist ein ganz simpler und eklatanter LOGIK-FEHLER seitens des Entwicklers.

    Es ist einfach schon der komplett falsche Ansatz, einfach Links mit laufenden Nummern, die man einfach erraten kann, zu verwenden – das muss jedem, noch BEVOR er ueberhaupt daran DENKT, das code-technisch umzusetzen, doch KLAR SEIN. Das hat noch nichtmal was mit „programmieren koennen“ zu tun – eher mit denken koennen!

  50. #76 Shorido: Also ist die \offizielle\ Aufgabe des TUEV eher irrelevant.

    Dieses ganze Geeiere mit Datenschutzbeauftragten, AGBs und so weiter ist doch nur Augenwischerei. Da, wo es WIRKLICH ums Ganze geht, naemlich bei solchen Sicherheitsluecken, ist der TUEV ratlos.

    Ich habe das Gefuehl, die groesste Kompetenz haben heutige Institutionen darin, ihre und anderer Institutionen unendliche Inkompetenz zu verbergen.

  51. P.S. #2: Man kann selbst auf einem Blog, das sich mit Programmierfehlern beschaeftigt, in fast jedem Posting die Programmierfehler sehen (warum werden denn meine Apostrophe zu Backslashes? Weil der Author dieser Blog-Software oder der Sysadmin hier kein PHP versteht / konfigurieren kann !) ;)

    Mann, heute bin ich echt redselig :) Hab wohl zu wenig Freunde…

  52. alle schreien hier so laut – aber mal ein paar sachliche fragen. ersetzt ein tüv check einen umfassenden sicherheitsreview bzw. ethical hacking? wohl kaum. Ist die webseite des betreibers statisch? wohl kaum: wenn am tag 1. geprüft wird und danach die seite umgestellt und eine schwachstelle „eingebaut“ wird, kann diese ja nicht erfasst werden.

  53. @50:

    >So etwas sollte geschehen, man könnte auch über eine gesetzliche Verpflichtung dafür nachdenken.

    Du meinst wohl §42a des BDSG (Bundesdatenschutzgesetz)?

  54. Egal um welche Firma es sich handelt, Libri, Telekom, Amazon, irgendwann gehen wohl bei jedem Daten „verloren“. Mal ist es ein technischer Fehler, mal stibitzt ein Mitarbeiter die Daten, mal ist es ein Hacker.

    Vielleicht kauft man seine Bücher doch besser beim Händler vor Ort.

    Immerhin sind die Daten nicht bewußt vom Internethändler weitergegeben bzw. verkauft worden, wie von Quelle oder Amazon praktiziert.

    Ich habe vor einiger Zeit bei Quelle was bestellt und meinen Namen um den Namen meiner Firma erweitert, weil die kein entsprechendes Formular hatten (Doppelname: Nachname-Firmenname). Danach bekam ich einiges an Werbung an diesen fiktiven Doppelnamen, auch von ganz anderen Firmen als Quelle. Solltet Ihr auch mal probieren. Man staunt!

    Und wenn man bei Thaila bestellt, kommt anschließend Werbung von Douglas ins Haus…

    uws.

  55. zu #92: gegen die url und die fortlaufenden rechnungs-IDs ist doch an sich nichts einzuwenden.

    darf halt nur nicht jeder rankommen – soll heissen, der eingeloggte (!) user muss natürlich zur rechnung passen.

    dazu wären bei solchen urls aber schon noch ein paar mehr übergabe-parameter mit anschliessender überprüfung angebracht: user-id, irgendein hash-wert, was sich noch so anbietet.

    aber solche default-passwörter zu vergeben ist natürlich ‚unter aller sau‘.

  56. Die ganze Diskussion ist so heuchlerisch: netzpolitik die grossen schwachstellen jäger? Alle user sind so entrüstet? Hey leute: wake up!!! seid ihr alle tatsächlich so naiv? Diese webplattformen sind sehr komplex. Viele leute arbeiten dran. Da schleichen sich immer fehler ein. Wenn man sich nur mal 15 minuten pro grosser online händler zeit nimmt & die wichtigsten owasp (www.owap.org) kategorien checkt findet man in 90 % der fälle etwas. Und ich rede da nicht von lächerlichen xss vulns. Mann seid ihr alle unwissend. Aber zum glück haben weder netzpolitik noch die meisten hier das know how das zu testen – sonst würde bald keiner mehr irgend was online machen.

    1. @Jan, #109: Und weil alle Dreck am Stecken haben und nichts wirklich sicher ist, ist das völlig in Ordnung so, es ist nichts anzuprangern und zu verbessern, es braucht sich nichts zu ändern, wir sollen schön ruhig bleiben und ungestört weiterkonsumieren. Na klaro.

      Everything is okay!

  57. @weirdo: nein – laut schreien ist ok. ABer hirn vorher mal aus dem suspend modus hochfahren: wenn leute z.B. schreien, weil in einer cms lösung ein default pwd am anfang gesetzt wird dann denke ich schon wenn man von dämlicher heuchlerei reden kann: wenigsten haben die bei libri noch ein sich sequentiell änderndes default pwd gesetzt –> wenn du mal typo3, sql, windows etc etc etc etc etc installierst im besten fall hast du ein statisches defalt pwd zu begin!!! whats the point here????? wenn man das dann nicht selber ändert: wer sinddie dummen: das cms oder die, die das cms aufsetzen???

  58. Ich werd mich mal bei libri.de um ein neues Projekt bemühen. Dies hat das Ziel, die Plattform auf sicherheitstechnische Belange zu überprüfen. Hier liegt einiges im Argen, gleich zwei schwerwiegende Sicherheitslücken in einer Woche. Ich werde euch berichten, wie die Anfrage von meiner Seite aus verlaufen ist. Falls Libri keinen Bedarf hat, sollten zumindest Interessierte die weiterhin bei Libri einkaufen wollen, hier informiert werden ;)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.