29.05.2018 – Kategorie: Handel, IT

Bamberger Informatiker entdecken Sicherheitslücke in Online-Apotheken

online-apothekenQuelle: felipe caparros/shutterstock

Wer in Online-Apotheken öfter Medikamente kauft, sollte auf der Hut sein. In zahlreichen Shops klafft eine Sicherheitslücke, wie jetzt Informatik-Wissenschaftler der Universität Bamberg in Kooperation mit Journalisten des NDR und des WDR aufgedeckt haben.

Wer in Online-Apotheken öfters Medikamente kauft, sollte auf der Hut sein. In zahlreichen Shops klafft eine Sicherheitslücke, wie jetzt Informatik-Wissenschaftler der Universität Bamberg in Kooperation mit Journalisten des NDR und des WDR aufgedeckt haben.

„Unbeteiligten wäre es dadurch möglich gewesen, persönliche Daten vieler Kunden auszuspähen, darunter ihre Bestellhistorie und teilweise sogar Zahlungsdaten“, erklärt Prof. Dr. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg. Die Sicherheitslücke ist alles andere als trivial, denn neben Anbietern wie Apotal und Sanicare waren etwa 170 weitere Versandapotheken betroffen. Das Problem liegt aber nicht an den Apotheken selbst, sondern vielmehr an der Online-Shop-Software von awinta.

Nachdem Dominik Herrmann sicher war, dass die Sicherheitslücke genutzt werden kann, wurde der Hersteller auf das Problem in der Shop- Software aufmerksam gemacht. Laut awinta wurde das Leck auf allen Servern unverzüglich geschlossen, so dass zu User zu keiner Zeit, Angst um ihre Daten haben mussten.

Sicherheitslücke Session-Hijacking

Verschafft sich ein Angreifer Zugriff auf die Browser-Sitzung eines anderen Nutzers, wird bei  dieser Art, Daten auszuspähen auch von Session-Hijacking gesprochen. Der Angreifer kann seinem Opfer sozusagen über die Schulter schauen und im schlimmsten Fall auf die Daten zugreifen, die im Kundenkonto hinterlegt worden sind. Der Grund für die Lücke: Die Online Shop-Software kann nicht den Browser des Opfers vom Browser des Angreifers unterscheiden. „Expertenwissen braucht man dafür nicht“, sagt Dominik Herrmann. „Schon in unserer Einführungsvorlesung zur IT-Sicherheit setzen sich unsere Studierenden mit solchen Angriffen auseinander.“

Herrmann bemängelt, dass einige Webserver von awinta nachlässig konfiguriert wurden, so dass jeder Nutzer eine Status-Seite des Webservers hätte aufrufen können. Dazu war lediglich nötig, an den Domain-Namen in der Adresszeile den Text „/server-status“ anzuhängen und die Status-Seite wäre erschienen. Somit wäre es leicht gewesen, die Sitzungskennung (Session-IDs) anderer Nutzer auszulesen. Normalerweise ist die Status-Seite nur für die interne Nutzung freigegeben. „Um sensible Daten eines Kunden auszuspähen, hätte ein Angreifer lediglich eine solche Session-ID in seinem eigenen Browser hinterlegen müssen“, führt Dominik Herrmann weiter aus.

Prof. Dr. Dominik Herrmann und sein Team haben eine Sicherheitslücke in den Onlineshops vieler Versandapotheken aufgedeckt und nachgewiesen. Bildquelle: Saskia Cramm/Universität Bamberg

Mittels Testkonten wiesen Herrmann und sein Team nach, dass diese Lücke die Sicherheit der Userdaten bedrohte. Sonderlich überrascht zeigt sich der Professor bei seiner Entdeckung nicht, handelt es sich doch um ein Sicherheitsproblem, das in den vergangenen Jahren häufiger aufgetreten ist.

Tipp: Wer sich Sorgen um die Sicherheit seiner Daten im Web macht, kann unter dem Link https://privacyscore.org/ selbst überprüfen, ob eine Website Sicherheitsmechanismen einsetzt. Zudem lässt sich herausfinden, wie eine Seite in Sachen Security im Vergleich zu anderen abschneidet.

Mit welchen Themen sich der Lehrstuhl von Prof. Dr. Dominik Herrmann außerdem beschäftigt, erfahren Sie hier


Teilen Sie die Meldung „Bamberger Informatiker entdecken Sicherheitslücke in Online-Apotheken“ mit Ihren Kontakten:


Scroll to Top