Name, Anschrift und Kontonummer einsehbar - Sicherheitslücke wurde mittlerweile beseitigt

Wer vor kurzem eine E-Mail der "Kronen Zeitung" bekam, hatte theoretisch Zugriff auf Abodaten des Blatts, behauptet ein Programmierer. Eine E-Mail vom Kundenservice der "Krone" weckte das Interesse von Roman Ranzmaier.

Das Schreiben landete irrtümlicherweise in seiner Inbox, obwohl es an seinen Nachbarn adressiert war. Darin wurde dieser gebeten, seine Bankdaten für die Abogebühr der Zeitung zu bestätigen. Ein Vorgang, der durch die Einführung von SEPA notwendig geworden sei.

Als Ranzmaier auf einen Link in der E-Mail-Nachricht klickte, wurde automatisch ein PDF-Dokument erzeugt. Darin fand er Daten wie Name, Anschrift und Bankdaten seines Nachbarn. Die Neugier des Programmierers war geweckt: Er nahm den Link unter die Lupe und will herausgefunden haben, dass man auch auf Daten anderer Abonnenten zugreifen konnte.

Der Grund: Jedem E-Mail-Empfänger wurde eine sechsstellige Nummer zugeordnet.

Ranzmaier schrieb darauf hin ein Programm, welches verschiedene Nummern ausprobiert und hat damit sofort Erfolg. Hätte er es einen ganzen Tag laufen lassen, dann hätte er sicherlich alle Kundendaten kopieren können.

Mehr Infos bekommt ihr auf derstandard.at