Ein Fehler in einer eCommerce-Lösung kann gravierende Folgen haben. Hier ein Fall aus Großbritannien, wo Kunden Bestellungen und Daten von anderen Nutzern angezeigt bekommen haben – und das teilweise ohne Benutzeranmeldung. Und es gab plötzlich fremde Bestellungen auf den eigenen Namen samt Belastungen der Kreditkarte.
Fehlerhafte Datenzugriffe im Shop
Dass Datenbanken durcheinander gewürfelt werden und Nutzer plötzlich fremde Daten sehen, scheint durchaus schon mal vorzukommen. Ich erinnere an den Blog-Beitrag zum Miles and More-Datenvorfall (siehe Datenleck bei Lufthansa Miles&More-Konten?) oder den Vorfall bei Eurowings (siehe Artikelliste am Beitragsende). The Register beschreibt in diesem Artikel den Alptraum eines Online-Shoppers.
Meine Frau hat ein Konto bei Fabletics. Sie versuchte, heute Abend einige Artikel zu bestellen, aber als sie sich einloggte, stellte sich heraus, dass sie im Konto eines anderen war.Im Moment ist ein Fremder auf ihrem Konto unterwegs, der immer wieder Dinge in ihren Einkaufskorb legt und sie nimmt diese Sachen immer wieder heraus.
So beschreibt ein anonymer Leser die Erfahrung der Ehefrau, deren Konto bei einem Online-Shop plötzlich ein merkwürdiges Verhalten zeigte. Offenbar griff ein Dritter auf die Datensätze eines Benutzerkontos zu, um Bestellungen auszuführen. Jedenfalls füllt sich der Warenkorb des Kontos und dessen Inhaberin versucht diese Waren aus dem Warenkorb zu löschen. Es war aber offenbar nicht so, dass das Konto gehackt worden war. Vielmehr wurden die Datensätze der jeweiligen Kunden falschen Benutzerkonten zugewiesen.
Warenkörbe fremder Nutzer verwendet
Der von seiner Frau genutzter Online-Shop hatte die Daten einiger seiner Online-Kunden durcheinander gebracht. Das ermöglichte den Leuten, Zugriff auf die persönlichen Daten fremder Nutzer zu erhalten und über deren Warenkörbe zu bestellen. In einem anscheinend serverseitigen Cache-Fehler war es am diese Woche Mittwoch auch ohne Anmeldung möglich, auf der Website fremde Daten anzusehen.
Der anonym bleiben wollende Leser berichtete, dass er auf der Webseite des Shops auf beliebige persönliche Kundendaten (Name, E-Mail, Telefonnummer, Adresse, Kontodaten, Bestellhistorie usw.) zugreifen. Der Leser schrieb: Ich könnte die Adresse von jemandem ändern, wenn ich wollte, und mir vielleicht Sachen liefern lassen. Seine Frau informierte die Shop-Betreiber telefonisch über die Panne. Die Betreiber schienen nicht zu glauben, dass das passierte – haben aber wohl diesen Fehler behoben.
Belastungen fremder Kreditkarten
Es wurde auch berichtet, dass eine Person Bestellungen aufgeben konnte, so dass die Kreditkarte eines Fremden belastet wurde. Zitat des anonymen Lesers:
Die Kreditkarte meiner Frau wurde heute Abend mit Transaktionen von Fabletics belastet. Offensichtlich hatten andere Leute Zugang zu ihrem Konto. Die Bank rief an, um zu prüfen, ob sie sie sperren sollten, da sie sie als verdächtig markiert hatten. Gut gemacht, Fabletics.
Laut Berichterstattung gehörte die fragliche Website zu dem überaus trendigen E-Shop für Fitnesskleidung Fabletics, der von der TechStyle Fashion Group, früher bekannt als JustFab Inc. betrieben wird. Der Bericht dieses Lesers wurde auch von anderen Kunden des Fabletics-Shops bestätigt. Ein weiterer Leser berichtete:
Ich sah eine YouTube-Werbung für ein Paar Herren-Shorts bei Fabletics. Also googelte ich den Anbieter, klickte auf den Link auf der Hauptseite und es sah so aus, als wäre ich als Benutzer eingeloggt. Ich habe kein Konto bei diesem Anbieter. Ich klickte mich um und bekam eine ganze Reihe von Details von Fremden zu sehen.
Das ist natürlich ein Sicherheitsvorfall allererster Güte, wenn fremde Kundendaten mit oder ohne Anmeldung zugreifbar und Bestellungen über fremde Konten möglich sind.
Ähnliche Artikel:
Datenleck bei Lufthansa Miles&More-Konten?
Nachträge zum Miles&More-Sicherheitsvorfall
Eurowings: Schwere Datenpanne beim Onlineportal
tjo, wer’s nicht kann, der kann’s dann aber so richtig nicht. Und – Konsequenzen (wirkliche = shop zu für immer)? wahrscheinlich weniger.
was eine debile DummWelt…
Das erinnert mich an mein Studium, wo ich bei Mise en Place einen Kellner-Job hatte. Bei meiner Lohnabrechnung, die ich im Browser ansehen konnte, war es mir möglich durch verändern der ID in der Adressleiste eine fremde Lohnabrechnung anzusehen.