Merkur-Kundendaten mit hilfe von Nocard geknackt
Studenten der FH-Salzburg ist es gelungen mit Hilfe der App Nocard an Kundendaten des Merkur-Vorteilsprogramms zu kommen.Mitglieder des Merkur-Vorteilsprogramms können ihre Plastikkundenkarte in die offizielle App transferieren. Dazu muss lediglich der Code mit der APP eingescannt werden. Dann fragt die App noch die zugewiesene Postleitzahl ab. Stimmt diese mit dem Profil überein, werden zunächst der Name des Kunden und dessen Kundennummer angezeigt. In der App kann man weiters eine E-Mail-Adresse und Passwort vergeben und erhält Zugriff auf das Kundenkonto.
Wer nun also einen mit Nocard generierten Code einscannt und die Postleitzahl errät, könne sich Zugriff auf Kundendaten verschaffen.
Die Studenten haben dies bei einer Eingeweihten Person getestet und konnten dessen Daten ohne weiteres auslesen und dann noch mit einer beliebigen Mailadresse und Passwort versehen. Danach hatten sie Zugang zu dessen Kundendaten.
Theoretisch wäre es auch möglich ein Skript zu schreiben, welches die Angabe der Postleitzahl übernimmt und somit alle Postleitzahlen Österreichs automatisch durchprobiert.
Update:
In einer Stellungnahme teilte Rewe mit: Zitat:
"Es ist richtig, dass uns Studenten der FH Salzburg auf eine Sicherheitslücke bei einigen wenigen über eine App selbst zu wartende Kundenkonten von Merkur aufmerksam gemacht haben. Diese Sicherheitslücke wurde sofort geschlossen. Wir bedanken uns bei den beiden Studenten der FH Salzburg, dass sie uns darauf aufmerksam gemacht haben und werden sie gerne einladen, an langfristigen Lösungen mitzuarbeiten."
Kurze URL:
Das könnte Dich auch interessieren:
Auch der Lebensmittelhändler Merkur platziert nun in Wien Lockmodule für Pokémon. Der erste Test wird an der Filiale Merkur Hoher Markt durchgeführt.
Nach einem halben Jahr akzeptiert der Rewe-Konzern an Kassen wieder eine Kundenkarten-App eines Drittanbieters.
Weitere News:
Adobe zeigt KI-Upscaling für Videos ohne Geflacker
Deutsches Bundeskartellamt darf Amazon nun noch schärfer kontrollieren
USA steht kurz vor Gesetz zum Tiktok-Verbot
Cloudnordic geht durch Hackerangriff pleite
Steam ändert Refund-Regeln für Early-Access-Spiele
Sammelklage in Deutschland gegen Dazn eingereicht
Tesla Model 3 Performance fährt 262 km/h
Smart zeigt mit dem Concept #5 erstes 800-Volt-Modell
WizardLM 2: Microsoft muss unsichere KI zurückziehen
AVM bestätigt "gute Einigung" mit Huawei zu Patenten
Deutsches Bundeskartellamt darf Amazon nun noch schärfer kontrollieren
USA steht kurz vor Gesetz zum Tiktok-Verbot
Cloudnordic geht durch Hackerangriff pleite
Steam ändert Refund-Regeln für Early-Access-Spiele
Sammelklage in Deutschland gegen Dazn eingereicht
Tesla Model 3 Performance fährt 262 km/h
Smart zeigt mit dem Concept #5 erstes 800-Volt-Modell
WizardLM 2: Microsoft muss unsichere KI zurückziehen
AVM bestätigt "gute Einigung" mit Huawei zu Patenten
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(1)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024