Durch einen Fehler innerhalb des Online-Bestellsystems des Versandhauses Quelle war es möglich, auf ein spezielles Profi-Bestellsystem für Betreiber einzelner Quelle-Shops zuzugreifen. Wie die Wirtschaftswoche meldet, reichte es dabei aus, bei einer Online-Bestellung die Funktion "Passwort vergessen oder nicht zur Hand" auszuwählen und im anschließenden Fenster statt der eigenen Daten die eines Shop-Besitzers einzugeben - schon war man drin in "Probesy" (Profibestellsystem). Das System begnügte sich bei der Authetifizierung mit Name, Adresse und Geburtsdatum - Informationen, die man sich leicht beschaffen kann. Die Liste sämtlicher Shop-Betreiber mit Namen und Adresse findet sich beispielsweise direkt auf der Quelle-Homepage im "Shop-Finder".

In Probesy war es dann möglich, sämtliche Bestellungen des jeweiligen Shops anzusehen und zu ändern. So konnten die Betrüger auf fremde Kosten einkaufen. Entdeckt hatte die Schwachstelle ein Hacker aus Dessau. Quelle hat inzwischen Strafanzeige gegen Unbekannt wegen des "Verdachts des schweren Betrugs in mehreren Fällen" gestellt. Es habe in Folge eines Softwareupdates eine "kurzzeitige Lücke im IT-System" gegeben. Daten von Shop-Inhabern und -Kunden seien ausspioniert, manipuliert sowie Waren auf fremde Namen und falsche Lieferadressen bestellt und nicht bezahlt worden, gibt das Unternehmen in einem Statement zu. Unmittelbar nach Bekanntwerden sei der Fehler beseitigt worden.

Quelle-Kunden seien nicht zu Schaden gekommen, wohl aber einzelne Shop-Inhaber. Der wirtschaftliche Schaden bewege sich "im unteren fünfstelligen Bereich" versucht der Konzern zu beschwichtigen. Er beteuert, dass die Firmen Atos Origin und Itellium "alle IT-Systeme permanent und systematisch auf Schwachstellen überprüfen" und eventuelle Probleme sofort beheben. Diese Maßnahmen seien nun "noch einmal deutlich intensiviert" worden. Laut Quelle-Co-Chef Dirk Seifert soll die Panne "personelle Konsequenzen" haben - welche ist allerdings unklar. (ave)