Exklusiv: Die Libri-Shops der Anderen

Das Datenleck bei Libri.de war größer als gestern berichtet. Wir hatten gestern Zugang zu vielen der über 1000 Shops, die im Libri.de-Marktplatz existieren. Darin fanden sich sämtliche digitalen Daten der jeweiligen Online-Vertriebs-Geschichte!

Am Donnerstag haben wir exklusiv über eine Sicherheitslücke beim Online-Marktplatz Libri.de berichtet, über die wir Zugang zu ca. 500.000 Rechnungen hatten. Der Marktplatz funktioniert als Shop-System. Mehr als 1000 Buchhändler haben sich dort einen Shop angelegt und wickeln bequem ihre Online-Bestellungen über diesen ab. Aufgrund der Berichterstattung erhielten wir einen weiteren Hinweis auf weitere Sicherheitslücken bei Libri.de.

libri6_loginWir bekamen den Hinweis, dass man sich mit den Login-Daten „70006000“ (Beispielzahl!) mit demselben Passwort in den ersten Shop einloggen konnte und dann jeweils mit der nächsthöheren Zahl, also „70006001“ in den nächsten Shop. (Kein Scherz: Dieselbe Situation wie bei den Rechnungen!) Das probierten wir bei den ersten 3-4 Shops aus und es klappte jedes Mal mit dieser Zahlenkombination. Wir verzichteten dann darauf, aus den weiteren über 1000 Möglichkeiten gezielt nach shop.spiegel.de zu suchen.

Das, was wir hier vorfinden, erstaunt uns sehr – gelinde gesagt.

Wir haben die Geschichte kurz durch Screenshots dokumentiert und parallel den Hamburger Datenschutzbeauftragten sowie die Libri.de Geschäftsführung informiert. Letzterer gaben wir den Hinweis, sofort die Passwörter zu resetten (Passierte ziemlich schnell) und dazu bis Freitag Vormittag Vorbereitungszeit und Möglichkeit für ein Statement, bis wir die Geschichte veröffentlichen. Auf einigen Screenshots habe ich alle personenbezogenen Daten geschwärzt und alles mit personenbezogenen Daten anschließend gelöscht.

Das fanden wir vor:

libri_kundenlisteWir hatten Zugriff auf die kompletten Bestellstatistiken, die Bestellhistorie, Beleghistorie und Kundenliste (Mit Mail- und Postadressen). Dazu hätten wir die Möglichkeit gehabt, einen Shop „zu übernehmen“, indem wir die Zugangs- und Kontaktdaten ändern und selbstverständlich hätten wir auch gleich allen Kunden eine Mail schicken können mit der Empfehlung eines „ähnlichen Buches“. Dazu waren anscheinend Manipulationen der Bestell- und Beleghistorie möglich. Das waren also Shop für Shop sämtliche bisher digital angefallenen Daten des digitalen Vertriebs.

Man kann davon ausgehen, dass alle über 1000 Shopbetreiber vom System die Default-Logins XXXXYYYY / und XXXXYYYY bekommen haben. In der Regel dürften die Default-Passwörter nicht geändert worden sein. Wir haben es nur bei wenigen Shops ausprobiert und kamen in jeden einzelnen mit der Kombination hinein. Theoretisch hätte jeder Shopbetreiber mit etwas kritischem Denken ausprobieren können, ob man in die Shops der Konkurrenz rein kommt und sich dabei anschauen können, was deren Kunden so kaufen – und das hätte oft geklappt! Natürlich tragen die Shopbetreiber auch einen Teil der Verantwortung, Standardpasswörter sofort zu ändern.

Im Gegensatz zu den 500.000 Rechnungen standen in den einzelnen Shop mehr private und gewerbliche Daten. Diese hätten besser abgesichert sein können, indem man sofort andere Passwortkombinationen beim Neuanlegen eines Shops verschickt. Und man kann wieder nach der Qualität der TÜV SÜD „s@fer Shopping Zertifikate“ fragen. Warum ist diese eklatante Sicherheitslücke nicht bei der Zertifizierung und der damit verbundenen Sicherheitsüberprüfung aufgefallen?

Wir haben versucht, zu einigen Shop-Betreibern Kontakt aufzunehmen, von denen wir aus dem System die Zugangsdaten hatten. Aber leider waren zufällig alle Verantwortlichen entweder nicht da oder schlicht überfordert, uns am Telefon eine kurze Stellungnahme zu dem Vorfall zu geben. Einer wirkte leicht geschockt, als wir ihm erklärten, dass wir gerade seinen Shop mit allen Daten sehen können. Eine andere Person erklärte uns, dass das nicht möglich sein könnte, weil man den Shop-Betreiber gewechselt hätte. Diesen mussten wir dann aufklären, dass seine digitale Shop-Historie weiterhin bei Libri.de gespeichert ist.

Johannes Caspar, der Hamburger Beauftragte für Datenschutz und Informationsfreiheit, hat uns ein Statement zu diesem neuen Fall gegeben:

„Die neuerlichen Weiterungen des Falles dokumentieren ein erschreckendes Ausmaß an Unkenntnis und Nachlässigkeit im Umgang mit Daten und der Datensicherheit. Dies gilt zunächst für die Vergabe von Initialpasswörtern durch Libri. Deren simple numerische Parameter laden die Store-Betreiber geradezu ein zu testen, ob es möglich ist, zu sehen, was die Konkurrenz so treibt. Das gilt aber auch für die Storebetreiber selbst, die ihre geschäftlichen Daten offenbar für so wenig schützenswert achten, dass sie auf eine Änderung des Zugangspassworts für ihren Store verzichten. Dass sie dadurch auch die persönlichen Daten ihrer Kunden preisgeben, ist aus Datenschutzsicht nicht hinnehmbar.“

Und auch libri.de die Möglichkeit eingeräumt, mit einem Statement zu reagieren:

Störfall Timeline

· Sofort nach dem Anruf wurde durch die Systemadministration der Zugang über das Internet zu dem betroffenen Content-Managementsystem gesperrt.
· Direkt danach, um etwa 13:30 begann die Technik damit, die Sicherheits-Logs zu dem betroffenen System auszuwerten und nach auffälligen Zugriffsmustern zu forschen. Die betroffenen Accounts konnten ermittelt werden. Insgesamt wurden drei erfolgreiche Versuche erkannt. Daten aus den Accounts wurden nicht in Umlauf gebracht.
· Um etwa 13:45 konnte die Ursache eingegrenzt werden: Bei den betroffenen Accounts wurden die initial vergebenen Default-Passworte nicht durch den Besitzer des Accounts geändert. Hierdurch konnte sich der Angreifer durch systematisches Erraten des Passwortes einen illegalen Zugang verschaffen.
· Um etwa 14:00: In einer Besprechung zwischen Technik und Betrieb wurde die Lage diskutiert: Da alle Passworte verschlüsselt gespeichert werden, kann nicht ermittelt werden, welche Buchhändler-Accounts gefährdet sein könnten und weiterhin die (unsicheren) Default-Passwörter oder zu schwache Passwörter verwenden. Daher wurde beschlossen, dass alle Passwörter mit einem sicheren Passwort-Generator neu gesetzt werden.

Zudem wurden die folgenden technischen Änderungen beschlossen:

I. Nach dem ersten Login wird der Benutzer gezwungen, sein Passwort sofort zu ändern.
II. Es wird durch technische Mittel die Wahl eines sicheren Passwortes erzwungen.
III. Nach drei fehlgeschlagenen Login-Versuchen muss der Benutzer ein CAPTCHA lösen, bevor ein erneuter Login-Versuch möglich ist. So soll ein automatisierter Angriff verhindert werden.
· Um 14:15 Uhr wurde in der Technik mit der Umsetzung der Maßnahmen II. und III. begonnen.
· Um 18:50 Uhr wurden die Änderungen an der Benutzerverwaltung des Content-Management Systems abgeschlossen.
· Um 18:57 Uhr wurden die Änderungen auf dem Test-System installiert und zum Test freigegeben.
· Um 20:30 Uhr wurden alle Passworte neu gesetzt.
· Um 21.15 Uhr wurden die Änderungen in den Live-Betrieb übernommen.
· Das Content-Management System wird den Buchhändlern im Laufe des Freitags, 30.10.2009 wieder über das Internet zugänglich gemacht.

Wir haben auch den Chaos Computer Club um ein Statement gebeten. Frank Rosengart, Sprecher des CCC, dazu:

„Libri.de hat bewiesen, dass sie nichtmal über Grundkenntnisse in IT-Sicherheit verfügen. Das vergeben von solchen initialpasswörtern darf einfach nicht passieren und in Kombination mit der PDF-URL-Änderung muss man leider davon ausgehen, dass personenbezogene Daten bei libri.de nicht gut aufgehoben sind. Das Unternehmen hielt es bisher auch nicht für notwendig, seine Kunden über das Problem zu informieren, was das Mindeste in einer solchen Situation gewesen wäre.“

Mein Fazit:

Libris Bemühen um Sicherheit wird sich ab jetzt einzig und allein in einem Punkt messen lassen: Transparenz, Information aller Betroffenen und positive Belege dafür, dass sich so etwas nicht wiederholt und wir demnächst keinen Teil drei haben.

Update:

In den Kommentaren hat jemand die Rundmail an die Libri.de-Händler gepostet. Der beste Teil daran:

Liebe Partnerbuchhändler, gestern hat der Internetblog Netzpolitik.org versucht sich illegal Zugang zum Libri.de Partnermanager von Buchhandlungen zu verschaffen. Dies ist ihm in drei Fällen, in denen Buchhändler das initiale Passwort entgegen den Anforderungen nicht gegen ein eigenes sicheres Passwort ausgetauscht haben, durch systematisches Raten gelungen. Die drei Buchhändler wurden durch uns informiert. Alle anderen Buchhändler waren nicht betroffen. Ebenso wurden keine Kundendaten verbreitet.

Ok, wir sind schuld, dass da so geschlampt wurde.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

96 Ergänzungen

  1. IT-Sicherheit scheint für viele Web-Anbieter immer noch ein Fremdwort zu sein. Echt schlimm heutzutage.

    Dennoch gibt es immer noch jede Menge Leute, die keine Ahnung von der Technik haben und sich denken, passiert doch eh nichts. Habe des öfteren mit DSL-Router zu tun. Ihr glaubt nicht, wie viele Leute da noch das Standard admin-Passwort aus dem Handbuch drin haben. Erschreckend viele!

  2. das ist ja ne riesen-meldung: dass einige buchhändler bzw. shop-betreiber so dumm sind und ihr default-passwort zu einem redaktionssystem nicht sofort nach erhalt ändern! und das sogar noch toppen, denn von wem kam der hinweis darauf? doch wohl von einem buchhändler selbst…

  3. es gibt da eine geschichte, die der quantenphysiker richard feynman in seinen memoiren berichtet. feynman hat während wk2 in los alamos an der entwicklung der atombombe mitgearbeitet, das ganze natürlich höchst geheim, und jeder wichtige entscheidungsträger hatte in seinem büro einen großen tresor stehen, in dem zb alle dienstunterlagen nachts aufbewahrt werden mußten. feynmans hobby war es, diese tresore während einer geschäftsbesprechung unbemerkt zu knacken. er schreibt, wie einfach das war, weil die hohen offiziere in den allermeisten fällen die default zahleneinstellung nicht geändert hatten. er kam fast immer mit der werkseitig eingestellten nummer rein.

  4. Bin gespannt, wie viele Buchhändler da jetzt dann wohl als Passwort „buch1234“ oder „Libri9999“ hinterlegen werden…

  5. Solange Sachen wie sofortüberweisung.de , die eine Tan und Pin von dir verlangen, mit einem TÜV-Zertifikat ausgestattet werden können, ist das System eh unglaubwürdig.

  6. „Da alle Passworte verschlüsselt gespeichert werden, kann nicht ermittelt werden, welche Buchhändler-Accounts gefährdet sein könnten und weiterhin die (unsicheren) Default-Passwörter oder zu schwache Passwörter verwenden.“

    Das stimmt so nicht. Zumindest die Default-Passwörter lassen sich überprüfen. Dazu hätte man nur die Verschlüsselungsfunktion auf die jeweilige Login-ID anwenden und den Hash dann mit dem Datenbankwert vergleichen müssen.

  7. Und ich wollte dort was bestellen. Es ist es echt schlimm, auch für Libri selbst. Die SchuelerVZ Sache stand gestern in der Sächsischen Zeitung, wenn die Libri Sache in die Zeitung kommt, haben die den Arsch offen. Ist der Ruf erst ruiniert…

  8. Da muss man doch nur „einen Trojaner durch die Falltür schmeißen“ und alle flattern wie die Hühner aufgeregt durch die Gegend.

  9. Initiales Default Passwort für alle gleich. Sag mir bitte jemand, dass das nicht wahr ist. OK, nach dem Vorfall von gestern glaube ich inzwischen alles …

  10. @Peter:

    Klar kann man das. Aber traust du das den Technikern von Libri wirklich zu? Nach dem was man jetzt gelesen hat.

  11. E-Mail von Libri.de an die Partnerbuchhändler

    Liebe Partnerbuchhändler,

    gestern hat der Internetblog Netzpolitik.org versucht sich illegal Zugang zum Libri.de Partnermanager von Buchhandlungen zu verschaffen. Dies ist ihm in drei Fällen, in denen Buchhändler das initiale Passwort entgegen den Anforderungen nicht gegen ein eigenes sicheres Passwort ausgetauscht haben, durch systematisches Raten gelungen.

    Die drei Buchhändler wurden durch uns informiert. Alle anderen Buchhändler waren nicht betroffen. Ebenso wurden keine Kundendaten verbreitet.

    Vor diesem Hintergrund haben wir den Partnermanager zentral gesperrt und die Anmeldemethode so überarbeitet, dass Nutzer des Partnermanagers technisch gezwungen werden, sich beim ersten Login ein eigenes sicheres Passwort anzulegen. Zusätzlich wird jetzt technisch sichergestellt, dass die Passwörter lang genug sind und eine maschinelle Eingabe unmöglich wird.

    In diesem Zusammenhang bitten wir Sie, uns ein Anfoderungsfax mit Ihrem Firmenstempel und Ihrer Telefonnummer zu schicken, Wir rufen Sie dann zurück und teilen Ihnen Ihre neuen Zugangsdaten nach erfolgter Authentifizierung mit. Mit dieser umfassenden Maßnahme wollen wir zukünftig illegale Zugangsversuche quasi unmöglich machen.

    Wir bitten um Ihr Verständnis. Für Rückfragen stehen wir jederzeit zur Verfügung.

    Mit freundlichen Grüßen

    Per Dalheimer Petra Gortzewitz

    _______________________________________
    Petra Gortzewitz I Sales Manager
    Libri.de Internet GmbH
    Friesenweg 1 I D-22763 Hamburg
    Telefon: (040) 8 51 94 – 108 | Telefax: (040) 8 51 94 – 113
    Email: pgortzewitz@libri.de
    http://www.libri.de
    __________________

    Geschäftsführung: Per Dalheimer, Dr. Pascal Zimmer
    AG Hamburg HRB 75623
    Umsatzsteuer ID: DE 812809727
    __________________

    Kundenservice: service@libri.de

    Schneller Versand – über 400.000 Titel innerhalb von 24h lieferbar
    Flexible Lieferung – Postversand, Abholung in einer Buchhandlung oder Download
    Auswahl mit Format – über 3 Mio. Bücher, Hörbücher, Downloads & mehr

    Libri.de – Bücher I Hörbücher I Downloads

    1. @Anonym: Danke für das posten der rundmail. Frage mich gerade, was Libri.de wohl geschrieben hätte, wenn die Süddeutsche Zeitung das recherchiert hätte: „gestern hat die Süddeutsche Zeitung versucht sich illegal Zugang zum Libri.de Partnermanager von Buchhandlungen zu verschaffen.“?

  12. „Insgesamt wurden drei erfolgreiche Versuche erkannt. Daten aus den Accounts wurden nicht in Umlauf gebracht.“

    Wir wissen, dass jemand die Daten hat. Wir wissen nicht, wer das ist, aber er hat sie nicht in Umlauf gebracht. Glauben wir. Hoffen wir. Sagen wir jedenfalls.

    „Da alle Passworte verschlüsselt gespeichert werden, kann nicht ermittelt werden, welche Buchhändler-Accounts gefährdet sein könnten und weiterhin die (unsicheren) Default-Passwörter oder zu schwache Passwörter verwenden.“

    Wir wissen zwar, was die unsicheren Default-Passwörter, aber wir kommen nicht auf die Idee, diese einfach zu verschlüsseln und dann die verschlüsselten Hashes zu vergleichen. Dafür betonen wir lieber, dass wir ja alle Passwörter verschlüsselt (und damit sicher – haha) speichern.

    Mir fallen da viele Bezeichnungen ein: Dampfplauderer, Dilettanten, Ahnungslose.
    Nur ein Wort fällt mir im Zusammenhang mit Libri nicht mehr ein: Geschäftspartner.

  13. es gibt einfach nicht genügend natürliche Selektion…! ;)
    (um mal Turbonegro zu zitieren)

    Sogar mein Router zwingt mich zum setzen eines neuen Passwortes nach dem ersten Start.

    Aber nur kurz zum Vertsändnis: Waren die Passwörter einfach nicht geändert oder waren alle Kontoen mit dem Initialpasswort zu erreichen auch nach einer Änderung?! Ich kann mir einfach nicht vorstellen, dass alle getesteten User das Passwort beibehalten haben. Da MUSS doch noch was anderes im Argen liegen, oder?

  14. Toller Kommentar von Libri. Es haben also nur 3 Logins funktioniert? Das bezweifle ich ernsthaft, aber guter Versuch, Ruhe zu bewahren bei den Handelspartnern. Aber leider nur ein Versuch.

    Wenn man sich überlegt, dass diese Lücke schon ewig und drei Tage lang existiert und nur wenig Kreativität benötigt, ist es eigentlich nicht schwer anzunehmen, dass der ein oder andere Händler oder deren Mitarbeiter/beauftragte Agenturen/o.ä. nicht schon lange das gleiche herausgefunden haben – und in aller Ruhe passiv zuschauen die Daten der anderen ausgelesen haben.
    Praktisch, wenn man der Konkurrenz vielleicht den einen oder anderen Kunden abluchsen will.

    Alleine aber was die Daten für typische Datensammler wert sind, werden diese fast schon sicher irgendwo hingeflossen sein. Egal ob das Libri gestern jetzt gemerkt hat oder nicht. Die Logs von vor einem Jahr werden die sicherlich kaum durchgegangen sein…

  15. Danke für das Aufdecken der Datenschutzlücke. Die erste Lücke fiel für mich noch unter „darf nicht passieren, kann aber passieren“. Diese Lücke finde ich jetzt persönlich um einiges schlimmer, da sie – in Zusammenhang mit der vorherigen Lücke – in meinen Augen darauf hinweist, dass Libri offensichtlich ein massives und systematisches Datenschutzproblem hat.
    Ich habe auf jeden Fall Libri gerade per Mail zur Löschung meiner personenbezogenen Daten aufgefordert.

  16. Vielleicht sollte man libri.de mal erklären, dass dieser „illegal handelnde Blog“ genau das gemacht hat, was eigentlich der TüV im Rahmen dieser schmucken Zertifizierung hätte machen sollen — wenn auch ungefragt.
    Also sollte libri doch eigentlich netterweise für die Sicherheitstests noch einen kleinen Obulus an Markus entrichten…

  17. @ markus:

    Die Mail von libri.de an die Händler ist ja wohl die absolute Frechheit. :( Da machst Du die noch in bester Absicht darauf aufmerksam, dass sie gravierende Sicherheitslücken im System haben, und dann versuchen die, den Eindruck zu erwecken , Du wärest der \böse Internet-Hacker\, der ihr \bestens abgesichertes\ System auf bösartigste Weise illegal gehackt hat.

    Nur schade, dass die Daten bei Dir gelandet sind, und nicht bei wirklich bösen Menschen. Nach solch einem Brief hätte ich es denen von Herzen gegönnt.

  18. Moin,

    ich habe mir mal den Screenshot angeschaut. „Realisiert von freiheit.com“. Vermutlich hat Libri.de die komplette Entwicklung ausgelagert. Das würde auch die merkwürdig formulierte Rundmail erklären. Natürlich ist das keine Entschuldigung für die unzureichende Sicherheit der Software wirft aber auch ein ungutes Bild auf freiheit.com.

    Das TÜV Zertifikat ist ja wohl ein witz. Könnt ihr mal vom TÜV ein Statement erfragen?

  19. Ein Gutes hat die Mail aber doch: Dadurch, dass Netzpolitik.org in der Mail explizit erwähnt wurde, kann sich jeder Empfänger ein eigenes Bild dazu machen, wie es wirklich abgelaufen ist, wenn er hier auf die Seite klickt.

    Das Thema gehört meiner Meinung nach auch in die Mainstream-Medien.

  20. Diese Rundmail von libri ist ja dreist. Das alte Prinzip, bei dem der Überbringer einer schlechten Nachricht dafür verantwortlich gemacht wird. Da wird es wirklich ärgerlich. #epic fail

  21. auf der freiheit.com – website: „Ruhm und Reichtum waren für uns nie die Antriebsfeder: Es war immer die Leidenschaft für Technik, Computer und Programme.“ soso…

  22. zum rundschreiben: wenn ich jetzt den firmenstempel einer buchhandlung photoshoppe, meine telefonnummer drauf schreibe (achtung neue nummer!!), dann schicken die datenschützer von libri das neue passwort doch an mich. oder?

  23. Dumme Frage: Könnte es sein, dass sich Libri – immerhin einer der zwei Großhändler, die die Einzelhändler der Republik mit Büchern versorgen – mit dieser Daten-Sicherheits-Panne schlicht und einfach das gute alte Geschäft „Vertrieb und Lieferung von Druckwaren“ wenigstens um eine Gnadenfrist erhalten wollte, bis ihnen die netzgestützten Distributionionsverfahren z. B. der Firma Amazon mit den Einzelhändlern auch das Geschäftsmodell und also die einzige Einkommensquelle ausgetrocknet haben?

    Oder, andere, wahrscheinlich ebenso dumme Frage: Ist das Problem, wer denn für die Einhaltung und Wahrung der im Datenschutzgesetz festgelegten Sicherheitsmaßnahmen haftet, wenn ein Großhändler seine Kunden – also einen ebenfalls gewerblich geführten Betrieb mit eigener Buchhaltung und Geschäftsführung – beliefert und also mit betriebsinternen Geschäfts-Daten wie Kundenbestellnummern etc. über ihr laufendes Geschäft in Kenntnis setzt, gelöst? Oder streiten sich womöglich Großhändler und die Einzelhändler über genau diese Frage, wer die Kosten dieses Verwaltungsaufwandes zu tragen hat, die bislang wegen der Nutzung der Medien Brief, Telefax sowie Telefon allein den gewerblichen oder staatlichen Anbietern dieser Informationsdienstleistung entstanden sind, beim Übergang von diesen alten herkömmlichen Nachrichtenübertragungstechniken auf die digitalen Informationsverwaltungssysteme, die man bei SAP oder Microsoft kaufen kann, neuerdings auf die Benutzer übergehen?

    Wie gesagt. Dumme Fragen eines nicht sachverständigen bloßen Users und eben nicht profunden Kenners der IT. Über Aufklärung bezüglich welcher technischer oder juristischer Sachverhalte ich mich irre, würde ich mich freuen.

  24. Hab mir die Seite Aufgrund der Vorfälle auch mal näher angeschaut, hier ist noch eine Blind SQL Injection mit der man auf die Datenbank zugreifen kann:

    [URL entfernt – Muss ja hier nicht sein]

    Ist mir allerdings zuviel Arbeit da er jedesmal wenn die Abfrage stimmt er eine blöde MP3 Datei lädt.

  25. OK, den Schuh (im Gegensatz zu gestern) muss ich mir wohl anziehen, da die Entwicklung des Partnermanagers in die Zeit meiner Verantwortung fällt.

    Nur soviel: Weder Sorglosigkeit meinerseits noch damaliges technisches Unvermögen seitens libri.de oder freiheit.com sind ursächlich.

  26. Lustig, ich gewöhne mich so langsam an die täglichen libri-News.

    Was mich wundert: dass meine persönlichen Daten vermutlich besser geschützt sind; zumindest kam ich noch nie auf die Idee ein Initial-Passwort weiter zu benutzen.

    Was mich ärgert: die interne Kommunikation, die den Überbringer der schlechten Nachricht die Schuld zuschiebt. Dieser Schritt ist ja schonmal gründlich misslungen. Hier disqualifiziert sich libri als seriöser Partner.

  27. Habt ihr ernsthaft erwartet, dass Libri gegenüber seinen Partnern ein eigenes Fehlverhalten eingesteht. Ist doch viel bequemer, von einem illegalen Einbruch zu sprechen und dabei noch durch die Blume den Eindruck zu erwecken, man habe diesen selber abgewehrt.
    Damit ist Libri für mich in die passende Schublade sortiert. Entsprechende Mundpropaganda natürlich inklusive. Will ja nicht, dass einem meiner Freunde und Bekannten sowas auch passiert. Da dürfte es das beste sein, direkt vor Libri zu warnen :)

  28. Zitate von http://www.freiheit.com, die auch kommentarlos genossen werden können:

    _ „Wir wissen, dass sehr gute Software nur von sehr guten Programmierern geschrieben werden kann.“

    _ „Zudem haben wir interessante Projekte für den öffentlichen Bereich realisiert, beispielsweise im Bereich Sicherheit/Verschlüsselung für das Auswärtige Amt in Berlin.“

    _ „Anstatt auf ein schnelles Wachstum zu setzen, haben wir uns darauf konzentriert, langsam und mit kompromissloser Qualität zu wachsen.“

  29. Hi.
    Wie sieht es eigentlich rechtlich aus, dass ihr in den mit Passwort „geschützten“ Systemen vorbeischaut?
    Soweit ich mich errinnere ist ein Login-Versuch nicht strafbar. Aber sobald dieser Versuch erfolgreich war ist es eine Straftat. Oder!?

    Gruß Micha

    1. @Micha: Da gibt es unterschiedliche Ansichten von verschiedenen Juristen und Datenschutzexperten. Ich teile die Ansicht, dass es zu Recherche-Zwecken mit gleichzeitigem Informieren von Datenschutzbehörden und Betreiber keine Straftat ist.

    1. @Parkrocker: Nein, bevor man einen solchen Vorwurf an Behörden weiterleitet, sollte man die Information erstmal verifizieren. Das haben wir getan und sofort danach informiert.

  30. Ok, wir sind schuld, dass da so geschlampt wurde.

    Libri köpft den Überbringer der schlechten Nachricht. Die leben wirklich im Mittelalter.

    Ich liebe ja Firmen, die Geschäften nachgehen, von denen sie nichts verstehen und daraus zwangsläufig resultierende Fehlschläge beliebigen Unbeteiligte zuschreiben. Das ist enorm peinlich.

    Ich bin sehr froh, bei Libri kein Kunde zu sein.

  31. @markus.
    Okay. Ich hab mich auch schon gewundert, dass Libri in Anbetracht der Formulierung der Mail an die Partner nicht versucht hat, euch irgendwie rechtlich zu belangen. Dort scheint man das ja als rechtswidrigen Einbruch zu betrachten.

    1. @Parkrocker: Das hat man mir auch durch die Blume kommuniziert. Der Landesdatenschutzbeauftragte hatte da aber eine andere Sichtweise.

  32. Geht es den eigentlich nur um Libri? Nein sicherlich nicht! Libri hat einen Dienstleister (http://www.freiheit.com) und auf dessen Internetseite steht zu Referenzen folgendes:

    „Unsere Kunden haben eine Gemeinsamkeit: sie sind alle für ihre hohe Qualität bekannt und dafür, dass sie eine ebenso hohe Qualität von ihren Dienstleistern verlangen.“
    Diese Liste der Kunden kann man hier einsehen: http://www.freiheit.com/tag/Referenzen#ag9mZGN3ZWJzaXRldGVzdDFyDQsSB2FydGljbGUYIgw einsehen!

    Trifft die „hohe Qualität der IT-Sicherheit“ wie z.B. bei Libri dann auch auf die Seiten von buch.de, bol.de, dem Auswärtigen Amt, die Techniker Krankenkasse u.a. zu?

    Da fängt man dann schon an zu zweifeln!? und mir fallen z.B. folgende Stichwörter ein: Billiganbieter, Zertifizierung = Nepp oder Geldschneiderei, außen hui, innen pfui!

  33. Libri hat ja wohl jede Bodenhaftung verloren, wenn sie Dir die Schuld in die Schuhe schieben wollen. Die sollten sich mal eher in Demut und Dankbarkeit üben, statt diese Verleumdung zu verbreiten. Unglaublich!
    Diese Firma wird von mir keinen müden Cent bekommen.

  34. „Dumme Frage: Könnte es sein, dass sich Libri – immerhin einer der zwei Großhändler, die die Einzelhändler der Republik“

    Es handelt sich um die Onlinebuchandlung Libri.de, nicht den Barsortimentshändler Libri GmbH. Man beachte korrekt, wenn man schon wild herum prangert. ;-)

  35. Lerneffekt scheint sich nicht wirklich einzustellen.
    Vielleicht klappt das besser wenn man mal alles saugt und an wikileaks gibt.

  36. Gerade gemerkt, der Shop ist an einigen Stellen auch XSS anfällig :/ Konnte an einigen Stellen eigenen Code in die Seite einbetten – wer sucht wird die stellen sicher finden.

  37. „Dies ist ihm in drei Fällen, in denen Buchhändler das initiale Passwort entgegen den Anforderungen nicht gegen ein eigenes sicheres Passwort ausgetauscht haben, durch systematisches Raten gelungen.“

    Ihr hättet doch nicht nach 3 Versuchen aufhören sollen. Offensichtlich MUSS man hunderte von Accounts öffnen, damit die Verantwortlichen Fehler zugeben (und dann auch pro-aktiver Vorgehen werden).

  38. „Dies ist ihm in drei Fällen, in denen Buchhändler das initiale Passwort entgegen den Anforderungen nicht gegen ein eigenes sicheres Passwort ausgetauscht haben, durch systematisches Raten gelungen.“

    Ihr hättet doch nicht nach 3 Versuchen aufhören sollen. Offensichtlich MUSS man hunderte von Accounts öffnen, damit die Verantwortlichen sich nicht hinter solchen Schutzbehauptungen verstecken können.

  39. …na dann plaudere ich mal aus dem Nähkästchen…weil es doch Gründe für derartige Vorfälle gibt…

    keine Namen – to whom it may concern:

    Es war einmal eine kleine Agentur, die hat in zwei Jahren mühevoller Vorarbeit mit ihrem Netzwerk einen komplexen Downloadshop für Hörbücher entwickelt …

    und geriet an einen Geschäftsführer eines grossen eShops, der einen ganz schlauen Rechtsanwalt in seinem ach so seriösen, grossen Unternehmen beauftragte, einen cleveren \Kooperationsvertrag\ zu formulieren…

    mit geschickten Winkelzügen ist es dem schlauen, so gerissenen Geschäftsführer dann sehr schnell gelungen, für diese Entwicklungsarbeit keinen einzigen Cent zu bezahlen und das Konzept somit eigentlich ganz legal zu \klauen\….

    und auch noch das Netzwerk der kleinen, dummen Agentur dabei zu zerstören…

    und er freute sich und fragte dann genüsslich: \Wissen Sie eigentlich, WAS Sie da unterschrieben haben?\…

    wer so skrupellos mit Geschäftspartnern umgeht, für Leistung nicht bezahlen will, der bekommt eben zum Schluss ein schlampiges, immer nur neu zusammengeflicktes System…

    und gibt auch noch den geknebelten Dienstleistern die Schuld, wenn diese \Geschäftspraktiken\ auch Konsequenzen haben…

    ich kann vor solchen Firmen und der Zusammenarbeit nur dringend warnen, wir hatten einen Schaden im mittleren, fünstelligen Bereich…

    …tja – kleine Sünden bestraft der liebe Gott sofort ….grössere….

  40. leichtes offtopic,

    normalerweise interessiert mich der mail newsletter nie, aber bei dem betreff: „Sicherheit mit TÜV-Siegel!“ musste ich dann doch mal reinschauen… und ähh also irgendwie bin ich nicht überzeugt… -.-

    „…Und genau darum verdienen auch Ihre Login-Daten bestmöglichen Schutz!

    Unser Tipp: Hinterlegen Sie Ihre Zugangsdaten in der „Login-Zentrale“ des GMX Navigators. Dass sie dort sicher aufgehoben sind, hat jetzt der TÜV Rheinland nach umfassenden Tests bestätigt. Und Sie brauchen sich nur noch ein einziges Passwort zu merken: Das zu Ihrem GMX Account. So hat der Passwort-Spuk schnell ein Ende.

    Ihr GMX Team“

  41. Das Management von „libri.de internet“ wird sich die kritische Frage stellen müssen ob es am richtigen Platz sitzt.
    Per Dalheimer, Geschäftsführer der Gesellschaft, kennt sich mit Consumer Electronics und Online-Werbung aus.
    Claus Leonhardt, der IT-Leiter, kennt sich mit Flash, Baan und, doch, mobile shopping aus.
    Und er sucht Studenten und Aushilfskräfte für die IT.
    Das erste Kompetenzprofil dem man zutraut auch ein Verständnis für Sicherheit zu haben kommt dann eine Ebene weiter unten.

    Ich kann mir gut vorstellen wie die Diskussionen um das Shop-Passwort gelaufen sind: Kommt‘, wir nehmen pwgen, das geht einfach und macht sichere Passwörter.
    „Nee, das ist ja viel zu kompliziert, das peilen unsere Kunden nie – der Support explodiert.“ – Ja aber – Machtwort des Chefs: „Verkaufen verkaufen verkaufen, die können ihr Passwort ja selber ändern“.

    Duh.

  42. libri ist einer der großen buchzwischenhändler und es gibt viele buchhandlungen, die sich auf seine dienstleistungen verlassen. in den letzten jahren war das hauptsächlich die schnelle lieferung von büchern und non-book-artikeln über nacht. während des stattfindenden medienwandels hat sich das angebot der buchgroßhändler natürlich auch weiterentwickelt.

    nun ist der buchhandel eine sonderbare branche. hier hat jetzt bestimmt jeder von uns ähnliche vorurteile – urheberrecht, autorenhonorare vs. verlagsprofit, bremser beim wandel zur informationsgesellschaft – das will ich hier aber alles mal außen vor lassen. nicht, weil es nicht diskutierenswert wäre, sondern weil es ein anderes paar stiefel ist.

    der buchhandel ist eine branche mit unglaublich vielen lieferanten. es ist nicht ungewöhnlich, dass auch eine wald-und-wiesen-buchhandlung in hintertupfing über das jahr von mehreren hunderten, wenn nicht tausenden lieferanten beliefert wird. daher sind kleine buchhandlungen ohne die dienstleistungen der großhändler undenkbar. bücher sind preisgebunden und versandkosten und bestellabwicklung müssen finanziert sein.

    in so eine situation hinein kommt nun der vielbeschworene medienwandel. bei manchen buchhändlern kommt der hauptsächlich in form von angst: vor dem siegeszug der ebook-reader (der zur zeit noch mit gegenläufigen insellösungen grandios verkackt wird) und hauptsächlich vor dem internetversand von büchern.

    bei manchen buchhändlern – und es sind glücklicherweise immer weniger – löst das wort „internet“ nur eines aus: internet, das ist oft ein synonym für die angst vor dem verlust an den großen online-versender.

    das das nicht stimmen muss, hat noch nicht jeder gemerkt. dass eine buchhandlung ohne den kommunikationsweg internet den ruch des todgeweihten hat, ist aber langsam konsens.

    der erste schritt, mit dieser pflicht zum wandel umzugehen, ist für viele buchhändler ein rundum-shopangebot eines der großhändler. da gibt es unterschiede, sowohl in der implementation, als auch in der abwicklung und besonders auch der beteiligung am umsatz. es gibt unzählige buchhandlungswebsites im internet, die nur aus einem xyz-shop mit logo der buchhandlung bestehen, bei denen alles komplett vom anbieter xyz abgewickelt wird und die die buchhandlung nur bestellt hat, um nicht nicht im internet zu sein.

    websites, um nicht nicht im internet zu sein. weil man vielleicht eigentlich vor dem internet angst hat. weil man gar nicht weiß, dass es viele andere angebote gibt, die sich in den gewohnten arbeitsablauf einer buchhandlung sehr schön einfügen, kaum aufwand bedürfen und im ergebnis ähnlich gute resultate liefern, wie der große anbieter, ihr wisst schon, der mit dem synonym oben.

    oben in den kommentaren wurde den buchhändlern dummheit unterstellt. die beschäftigung mit der it an einen externen anbieter abzugeben ist doch aber gerade das produkt dieser shops. ich sehe die pflicht da eher beim anbieter.

    libri ist nicht der einzige, der solche lösungen anbietet. vielleicht ist so ein skandal ja auch mal eine gelegenheit für die beteiligten buchhändler, die angebote zu vergleichen. und vielleicht hört ja der eine oder andere mal den jüngeren mitarbeitern zu, die im informationskanal internet auch chancen sehen.

    .~.

  43. @ 79, dot tilde dot und die weiteren

    Wenn die Unterscheidung zwischen der Libri GmbH und Libri.de endlich mal eingehalten werden würde, dass wäre schon schön.

    Ich kann ja auch nicht sagen, dass buchkatalog.de gleich KNO/KV ist, auch wenn das eine Tochter von denen ist. Oder dass Buch.de gleich Thalia ist, oder das Arvelle, bol, oder kiddinx usw. auch Thalia sind.
    Ein bißchen mehr Sorgfalt bei der Bezeichnung der Firmen bitte.

  44. Nachtrag:
    Das die ganze Sache nicht „schön“ ist, steht ausser Frage.
    Macht doch mal bei einem Preisausschreiben mit und ergänzt euren Nachnamen oder Vornamen um eine Buchstaben, der da nicht hingehört. Und siehe da: Wieviele Briefe, Mails, Anrufe mit dem falschen Namen bekommt ihr ? Hat zwar mit der Dikussion nichts zu tun, aber im Kern schon.

  45. @84 (buch):

    ich werde am montag gleich mal den erwähnten wald-und-wiesen-buchhändler fragen, ob ihm das auch klar ist.

    gibt es denn inhaltlich an meinen ausführungen sonst irgend etwas auszusetzen? und wo habe ich behauptet, dass libri gmbh libri.de sei?

    eine möglichkeit zur echten schadensbegrenzung sehe ich eher durch eine inhaltliche diskussion.

    was mir oben nicht gepasst hat, waren pauschale aussagen über die angebliche verantwortungslosigkeit und dummheit von buchhändlern. nicht die frage, wo vielleicht auf der buchmesse die trennlinie auf dem libri/libri/sony/wasauchimmer-stand verläuft.

    .~.

  46. Hallo? Die verschlüsselten Passwörter konnten nicht geprüft werden? Wie bescheuert sind die?

    SELECT * from kundendatenbank where passwort = md5(‚login‘);

    alternativ auch SHA1 latürnicht … und selbst wenn sie über andere Methoden in der Scriptsprache verschlüsseln bzw hashen, dann schreibt man halt ein einfaches skript.

    Ey … ich glaub echt mein Schwein pfeift. Die Typen, die da das Zeug programmieren sind eine Schande für meinen Berufsstand und mir wird Angst und Bang, weil bestimmt noch mehr solche Idioten rum laufen …

    Und diese Rundmail ist ein SKANDAL ohne Gleichen.

  47. Mich würde interessieren, ob weitere Dienstleistungen von Libri.de betroffen sind. Gibt es bei libri.de für Buchhändler die Möglichkeit, im Namen Ihrer Kunden Bücher vorzubestellen (Stichwort: Grosshändler)

    Und werden dann Daten wie mein Name bei Libri gespeichert.

  48. @Hilfe (#60)
    Danke für die Aufklärung. Die Libri GmbH darf natürlich nicht mit libri.de verwechselt werden, klaro. Ich werde mich schämen und keine Fragen mehr stellen. Nur die noch: Wie geht das alte „Aprangern“, wenn „dumme Fragen stellen“ jetzt also das „neue Anprangern“ ist? Ach, es ist schon alles sehr verwirrend mit diesen IT Sachen. Und ich bin nur ein einfaches Mädchen vom Land…

  49. Genau. Und du bist deine Mutter oder was?
    Mensch, mensch.. dass das eine nicht gleich das andere ist bekommen wir doch schon im Mutterleib mit!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.