Sicherheitslücke bei JAKO-O?
15.01.2007 von Stefan
Die bei vielen Versandhändlern übliche automatische Vergabe von Passwörtern ist in der letzten Zeit ja (endlich) etwas ins Gerede gekommen. Große Anbieter wie Quelle und Otto geben ihren Kunden nicht die Möglichkeit, ein eigenes Passwort zu vergeben und es ggf. auch einmal zu ändern - stattdessen wird das Geburtsdatum des Kunden als Passwort vorgegeben. Anmeldename ist zudem meist die Kundennummer.
Wer also die Kundendaten eines anderen Kunden nutzen möchte, der muss nur die Kundennummer und an das Geburtsdatum herausfinden - Letzteres stellt immerhin eine gewisse Hürde dar, bei dem heutigen, deutlich gelockerten Umgang mit persönlichen Daten im Internet wird diese Hürde aber immer niedriger.
Letzte Woche sah ich meiner Frau über die Schulter, als sie eine Bestellung bei JAKO-O aufgab, einem Versandhändler, der sich auf Kinderkleidung und Spielsachen spezialisert hat. Es stellte sich heraus, dass man sich bei jako-o.de mit Kundennummer und Postleitzahl authentifizieren kann. Die Postleitzahl zu ermitteln ist aber erheblich leichter, als ein Geburtsdatum herauszufinden - immerhin stehen Kundennummer und Postleitzahl im Adressfeld jedes Kataloges oder Briefes, den ein Kunden von JAKO-O bekommt.
Nun ist der Schaden, den man mit den Daten eines anderen Kunden anrichten kann, vielleicht nicht allzu groß - Ärger bereiten kann man einem Kunden allerdings schon. Ich halte es für angemessen, die Sicherheitsmaßnahmen an dieser Stelle zu verschärfen und dem Kunden zumindest die Möglichkeit zu geben, Benutzername und Kennwort selbst zu definieren und zu verändern. Postleitzahl oder Geburtsdatum können sollten maximal dazu werden, ein ggf. vergessenes Passwort auf Anfrage an eine bekannte und geprüfte Mailadresse des Kunden zu schicken.
Genau das ist mir in den letzten Tagen schon bei SportScheck und Quelle aufgefallen (und das ist bei fast jedem mit INTERSHOP betriebenen Shop der Fall). Die Kundennummern werden jedem frei bekanntgegeben und wer dann noch das Geburtsdatum kennt (oder z.B. aus einer Foren-Registrierung dieser Person erfährt), der kann mit dem Kunden-Konto praktisch machen, was er will.
@MPK: Das hat allerdings nichts mit der eingesetzten Software zu tun, sondern liegt normalerweise an den alten IT-Systemen aus der Vor-Online-Zeit, die bei alteingesessenen Versandhändlern noch im Einsatz sind.
Einige Versender wollen auch einfach die Hürde für ihre Kunden möglichst niedrig halten, sich online anzumelden.
Das der Eindruck entsteht, dies hätte etwas mit Intershop zu tun, liegt einfach daran, dass einige der bekanntesten Versandhandelsmarken in Deutschland auf Intershop Enfinity setzen.
SportScheck gehört übrigens zum Otto-Konzern.