Bamberger Informatiker entdecken Sicherheitslücke in Online-Apotheken

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Bamberger Informatiker entdecken Sicherheitslücke in Online-Apotheken

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Wer in Online-Apotheken öfter Medikamente kauft, sollte auf der Hut sein. In zahlreichen Shops klafft eine Sicherheitslücke, wie jetzt Informatik-Wissenschaftler der Universität Bamberg in Kooperation mit Journalisten des NDR und des WDR aufgedeckt haben.

online-apotheke_felipe_caparros_shutterstock_385225294

Wer in Online-Apotheken öfters Medikamente kauft, sollte auf der Hut sein. In zahlreichen Shops klafft eine Sicherheitslücke, wie jetzt Informatik-Wissenschaftler der Universität Bamberg in Kooperation mit Journalisten des NDR und des WDR aufgedeckt haben.

„Unbeteiligten wäre es dadurch möglich gewesen, persönliche Daten vieler Kunden auszuspähen, darunter ihre Bestellhistorie und teilweise sogar Zahlungsdaten“, erklärt Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg. Die Sicherheitslücke ist alles andere als trivial, denn neben Anbietern wie Apotal und Sanicare waren etwa 170 weitere Versandapotheken betroffen. Das Problem liegt aber nicht an den Apotheken selbst, sondern vielmehr an der Online-Shop-Software von awinta.

Nachdem Dominik Herrmann sicher war, dass die Sicherheitslücke genutzt werden kann, wurde der Hersteller auf das Problem in der Shop- Software aufmerksam gemacht. Laut awinta wurde das Leck auf allen Servern unverzüglich geschlossen, so dass zu User zu keiner Zeit, Angst um ihre Daten haben mussten.

Sicherheitslücke Session-Hijacking

Verschafft sich ein Angreifer Zugriff auf die Browser-Sitzung eines anderen Nutzers, wird bei  dieser Art, Daten auszuspähen auch von Session-Hijacking gesprochen. Der Angreifer kann seinem Opfer sozusagen über die Schulter schauen und im schlimmsten Fall auf die Daten zugreifen, die im Kundenkonto hinterlegt worden sind. Der Grund für die Lücke: Die Online Shop-Software kann nicht den Browser des Opfers vom Browser des Angreifers unterscheiden. „Expertenwissen braucht man dafür nicht“, sagt Dominik Herrmann. „Schon in unserer Einführungsvorlesung zur IT-Sicherheit setzen sich unsere Studierenden mit solchen Angriffen auseinander.“

Herrmann bemängelt, dass einige Webserver von awinta nachlässig konfiguriert wurden, so dass jeder Nutzer eine Status-Seite des Webservers hätte aufrufen können. Dazu war lediglich nötig, an den Domain-Namen in der Adresszeile den Text „/server-status“ anzuhängen und die Status-Seite wäre erschienen. Somit wäre es leicht gewesen, die Sitzungskennung (Session-IDs) anderer Nutzer auszulesen. Normalerweise ist die Status-Seite nur für die interne Nutzung freigegeben. „Um sensible Daten eines Kunden auszuspähen, hätte ein Angreifer lediglich eine solche Session-ID in seinem eigenen Browser hinterlegen müssen“, führt Dominik Herrmann weiter aus.

Prof. Dr. Dominik Herrmann und sein Team haben eine Sicherheitslücke in den Onlineshops vieler Versandapotheken aufgedeckt und nachgewiesen. Bildquelle: Saskia Cramm/Universität Bamberg

Mittels Testkonten wiesen Herrmann und sein Team nach, dass diese Lücke die Sicherheit der Userdaten bedrohte. Sonderlich überrascht zeigt sich der Professor bei seiner Entdeckung nicht, handelt es sich doch um ein Sicherheitsproblem, das in den vergangenen Jahren häufiger aufgetreten ist.

Tipp: Wer sich Sorgen um die Sicherheit seiner Daten im Web macht, kann unter dem Link https://privacyscore.org/ selbst überprüfen, ob eine Website Sicherheitsmechanismen einsetzt. Zudem lässt sich herausfinden, wie eine Seite in Sachen Security im Vergleich zu anderen abschneidet.

Mit welchen Themen sich der Lehrstuhl von Prof. Dr. Dominik Herrmann außerdem beschäftigt, erfahren Sie hier

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Shopware, eine der führenden E-Commerce-Lösungen im deutschsprachigen Raum, wurde von Gartner erstmals in einen der bekannten Magic Quadrants aufgenommen. Damit zählt die shopware AG laut dem Beratungshaus zu den global 15 stärksten Anbietern von E-Commerce-Software.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Social Commerce

Neue Trends im Onlinehandel

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.