Rechnungsdaten einsehbar

Datenpanne beim Sparkassenverlag

03.11.2009
Der Sparkassenverlag hat ein Datenleck auf dem Shop-Portal der Deutschen Sparkassen behoben.
Das Portal des Sparkassen-Shops
Das Portal des Sparkassen-Shops

Dort seien fast 350.000 Rechnungen von Kunden einzusehen gewesen, berichtete das Blog "netzpolitik.org". Über ihr Shop-Portal verkaufen die Sparkassen zum Beispiel Buchhaltungssoftware ("Star Money") oder Anwendungen für die mobile Kontoverwaltung.

Dem Blog waren die Informationen über die Panne am Wochenende zugespielt worden. Nach Bekanntwerden der Schwachstelle sei diese innerhalb einer Stunde geschlossen worden, teilte der Sparkassenverlag in Stuttgart mit.

Als eingeloggter Nutzer habe man mit einem Trick Zugang zu den etwa 350.000 Rechnungen gehabt, hieß es. Für die Einsicht musste die Identifikationsnummer (ID) über den Weg der eigenen Bestellhistorie geändert werden. Dazu habe die Verwendung eines Zusatzprogramms in einem Internet-Browser ausgereicht. Programmierkenntnisse seien nicht erforderlich gewesen.

Die Rechnungen hätten Informationen wie Name, Anschrift, gekauftes Produkt sowie Liefer- und Rechnungsadresse enthalten, hieß es. Für das Einloggen in die Bestellhistorie habe man nun eine Überprüfung der ID des Kunden eingeführt. Das System gebe jetzt ausschließlich die Bestellhistorie des angemeldeten Kunden aus. (dpa/tc)