Zugriff auf 350.000 Rechnungen im Sparkasse-Shop

Eine neue delikate Datenschutz-Lücke erreichte uns am Wochenende. Auf dem Sparkassen-Finanzportal findet sich ein Sparkassen-Shop („Durchdachte Produkte für Ihre Finanzen“), über den man allerlei Waren kaufen kann. Dazu zählen die Top-Angebote „Star Money 7.0“, das „Update Star Money 7.0“ oder sicherlich besonders begehrte Publikationen wie den „Branchenreport Augenoptiker“ als PDF-Ausgabe für 25 Euro. Der Shop wird von der Deutsche Sparkassen Verlag betrieben und auf sparkasse.de eingebunden.

Soweit so gut. Unsere Quelle berichtete, dass man als eingeloggter Nutzer auf alle Rechnungen zugreifen konnte. Möglich machte dies eine Lücke im System. Wenn man sich in der eigenen Bestellhistorie die eigenen Bestellungen anschauen wollte, konnte man über die Änderung einer ID auch jede andere Rechnung im System anschauen. Dazu reichte die Verwendung des Firefox-AddOn Firebug, der den Sourcecode einer Seite anzeigt und damit kann man diesen direkt verändern. Wir brauchten uns nur mit Firebug anzuschauen, welche Zahl hinter dem Button „Details“ in der Bestellhistorie übergeben wird und mussten lediglich diese Zahl ändern. Statt „333333“ konnte man sich auch die Rechnung „222222“ anschauen. Das klappte ohne programmieren. Damit hatten wir Zugriff auf fast 350.000 Rechnungen im Sparkassen-Shop!

sparkassen_bugWir probierten durch, was wohl die erste Rechnung im System ist. Die niedrigste Zahl war 001000, dann hatten wir keine Lust mehr, denn 000500 war noch offensichtlich ein Test ohne Bestellinhalt. Die Rechnung mit der Nummer 001000 war aus dem Oktober 2006. Jede Rechnungsnummer zwischen 001000 und der aktuellen Zahl (etwas unter 350.000) klappte und war eine eigene Rechnung.

Was konnte man auf der Rechnung sehen?

Die Rechnung enthielt alle relevanten Informationen, die man in der Regel auf einer solchen vorfindet. Name, Anschrift, gekauftes Produkt, Liefer- und Rechnungsadresse, dazu die Einkaufszeit und die Zahlungsweise. Hier konnte man in der Regel davon ausgehen, dass die Kunden alle bei der Sparkasse sind.

Insofern fanden wir die Zahlungsart (Häufig Bankeinzug), Kontoinhaber, Bankleitzahl und den Name der Bank. Die Kontonummern waren bis auf die letzten vier Zahlen zur Sicherheit geschwärzt. Aber wer konnte von den Entwicklern auch ahnen, dass es anscheinend sehr kleine Orts-Sparkassen gibt, die nur vierstellige Kontonummern haben? Die Sparkasse Holstein Eutin scheint so eine zu sein, wie wir mit einer Suchmaschine verifizieren konnten. Also hatten wir auch Zugriff auf manche komplette Bankdaten.

Wir haben es mangels Interesse nicht verifiziert, aber unsere Quelle sprach davon, dass es auch kein Problem sei, mit Hilfe eines Scripts alle Rechnungen nacheinander bequem herunter zu laden. Die im Shop erworbenen Produkte wie der „Branchenreport Augenoptiker“ oder „Star Money 7.0“ sind nicht ganz so heikel wie z.B. die gekauften Bücher in den Libri-Stores. Aber man fragt sich doch, wie es um die allgemeine IT-Sicherheit der Sparkassen gestellt ist, bei denen ich Online-Banking mache, wenn wir Zugriff auf 350.000 Rechnungen in ihrem Shop hatten.

Die Deutscher Sparkassen Verlag GmbH sitzt in Stuttgart. Wir haben sie gestern über die Situation informiert und Zeit zur Behebung der Lücke gegeben. Am späten Nachmittag bekamen wir die Antwort, dass die Lücke behoben sei und uns wurde noch ein Statement für heute versprochen.

*Nach Hinweis kleine Änderung am Anfang gemacht, weil das deutsche Finanzportal nicht vom Deutsche Sparkassen Verlag betrieben wird, die nur den Shop dafür liefern.

Update: Nun gibt es eine Stellungnahme des Deutschen Sparkassen Verlages:

Der Internetblog www.netzpolitik.org informierte uns über eine Sicherheitslücke in unserem Shop www.sparkassen-shop.de. Diese konnte nach Bekanntgabe umgehend innerhalb einer Stunde geschlossen werden, hochsensible Kundendaten wie Kontodaten waren zu keiner Zeit einsehbar gewesen. Ein Missbrauch der Sicherheitslücke konnte deshalb nicht nachgewiesen werden. Die Sicherheitslücke stellte sich folgendermaßen dar: Um seine Bestellhistorie im Shop einzusehen, wählt der Kunde im Kundenbereich den Menüpunkt „Ihre Bestellungen“ aus und erhält eine entsprechende Auflistung. Die zwecks Aufdeckung einer Sicherheitslücke eingeschleuste Bestell-ID wurde mehrfach validiert und insbesondere gegen schadhafte Codes geprüft und entsprechend gefiltert. Allerdings berücksichtigte der Prüfvorgang nicht, ob die ausgewählte Bestell-ID zum angemeldeten Kundenprofil passte. Als Folge konnten Bestelldaten von fremden Kundenprofilen ausgelesen werden – also Name und Adresse, Bestellpositionen und -beträge sowie die Zahlungsweise. Kontonummern waren hingegen nicht einsehbar, da ausschließlich die letzten vier Ziffern der jeweiligen Kontonummer angezeigt wurden und somit die Kontoverbindung anonym blieb.

Nach Meldung der Sicherheitslücke konnte das Problem bereits innerhalb einer Stunde identifiziert und behoben werden. Eingefügt ist nun eine Prüfung im Hinblick auf die Zugehörigkeit der Bestellung vor dem Laden der Bestelldaten. Wird nun eine fremde Bestell-ID eingeschleust, gibt das System ausschließlich die Bestellhistorie des angemeldeten Kunden aus und keine fremden Bestelldaten. Noch am Tag der Fehlerbehebung veranlasste der Deutsche Sparkassenverlag umfassende Funktionstests des Kundenbereichs, wobei keine weiteren Unregelmäßigkeiten entdeckt wurden. Um den hohen Sicherheitsstandard für die Shopkunden dauerhaft zu gewährleisten, untersucht nun eine Arbeitsgruppe das Shop-Frontend. Anschließend wird ein externer Dienstleister einen erneuten Sicherheits- und Penetrationstest durchführen.

Bei den Kontonummern bin ich noch nicht überzeugt, weil ich auch vierstellige Kontonummern gefunden haben, wie von der Sparkasse Eutin. Dass diese anscheinend auch vierstellige Kontonummern hat, kann man leicht bei Google überprüfen.

62 Kommentare
  1. ninjaturkey 3. Nov 2009 @ 9:34
  2. Andre Schönfuß 3. Nov 2009 @ 9:50
  3. enttäuschter_Sparkassen_Kunde 3. Nov 2009 @ 11:03
  4. benzinerwin 3. Nov 2009 @ 11:30
  5. Sparkassen-Nutzer 3. Nov 2009 @ 12:13
  6. Diesmal_lieber_ohne Namen 3. Nov 2009 @ 12:30
  7. Diesmal_lieber_ohne Namen 3. Nov 2009 @ 16:36
  8. Diesmal_lieber_ohne Namen 3. Nov 2009 @ 16:37
  9. Kain Aerger 3. Nov 2009 @ 17:19
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden