27.03.2008
Datenschutz-Panne: ADAC-Karte ist ein Sicherheitsrisiko
Bei Recherchen für einen Artikel rund um Anonymisierung und Datenschutz fanden Autoren des Linux-Magazins in den Sicherheitsmechanismen des Online-Auftrittes des ADAC eine Lücke, die es fremden Personen erlaubt, Daten der Mitglieder auszulesen und eine Warenbestellung abzuschicken.
Auf der Webseite des größten Automobilclubs Deutschlands ADAC können unbefugte Dritte die Passwörter für den Online-Zugang der Mitglieder ändern. Voraussetzung dafür ist, dass Angreifer eine fremde ADAC-Karte in ihren Besitz gebracht oder sich die darauf aufgedruckten Daten (Name, Mitgliedsnummer und Beitrittsjahr) notiert haben.
Der Knackpunkt an der Sache: Für die Funktion "Passwort ändern" ist auf der ADAC-Webseite keine Eingabe eines bestehenden Passworts, einer E-Mail-Adresse oder eine sonstige Überprüfung der Identität des Besuchers vorgesehen. Nach Eingabe eines neuen Kennwortes ist der Angreifer online angemeldet und kann so bereits die im Menüpunkt "Mein ADAC" gespeicherte Daten wie Anschrift und Telefonnummer des ADAC-Mitgliedes abrufen.
Hat der Karteninhaber im Online-Bereich auch eine Kontonummer gespeichert, dann ermöglicht der Webshop über ein Optionsfeld "Per Bankeinzug bezahlen, meine Daten sind bekannt" eine Bestellung. Andernfalls trägt der Angreifer eine fiktive Kontoverbindung ein. Deren Daten werden offensichtlich nicht überprüft, und die Bestellung kommt, wie ein Selbstversuch zeigt, innerhalb weniger Tage an.
Indem ein Betrüger eine alternative Lieferadresse einträgt, ist ihm auch möglich, sich Artikel auf fremde Rechnung zu erschleichen. Das ADAC-Mitglied erhält dabei nur eine postalische Benachrichtigung über eine fehlende Einzugsermächtigung, die aber keinen Hinweis auf eine Online-Bestellung enthält.
Quelle: Linux-Magazin
Der Knackpunkt an der Sache: Für die Funktion "Passwort ändern" ist auf der ADAC-Webseite keine Eingabe eines bestehenden Passworts, einer E-Mail-Adresse oder eine sonstige Überprüfung der Identität des Besuchers vorgesehen. Nach Eingabe eines neuen Kennwortes ist der Angreifer online angemeldet und kann so bereits die im Menüpunkt "Mein ADAC" gespeicherte Daten wie Anschrift und Telefonnummer des ADAC-Mitgliedes abrufen.
Hat der Karteninhaber im Online-Bereich auch eine Kontonummer gespeichert, dann ermöglicht der Webshop über ein Optionsfeld "Per Bankeinzug bezahlen, meine Daten sind bekannt" eine Bestellung. Andernfalls trägt der Angreifer eine fiktive Kontoverbindung ein. Deren Daten werden offensichtlich nicht überprüft, und die Bestellung kommt, wie ein Selbstversuch zeigt, innerhalb weniger Tage an.
Indem ein Betrüger eine alternative Lieferadresse einträgt, ist ihm auch möglich, sich Artikel auf fremde Rechnung zu erschleichen. Das ADAC-Mitglied erhält dabei nur eine postalische Benachrichtigung über eine fehlende Einzugsermächtigung, die aber keinen Hinweis auf eine Online-Bestellung enthält.
Quelle: Linux-Magazin
Quelle: www.linux-magazin.de/
