Open Source im professionellen Einsatz

Millionen ADAC-Mitglieder von Datenlücke auf ADAC-Webseite betroffen

26.03.2008

Bei Recherchen für einen Artikel rund um Anonymisierung und Datensschutz fanden
Autoren des Linux-Magazins eine Lücke in den Sicherheitsmechanismen des Online-Auftrittes des ADAC, die es fremden Personen erlaubt, Daten der Mitglieder auszulesen und über ihren Account Waren zu bestellen.

517

Auf der Webseite des größten Automobilclubs Deutschlands ADAC können fremde Personen die Passwörter für den Online-Zugang problemlos ändern, solange sie nur im Besitz der
ADAC-Karte oder der darauf aufgedruckten Daten (Name, Mitgliedsnummer und Beitrittsjahr)
sind.

Für die Funktion "Passwort Ändern" ist keine Passworteingabe, E-Mail-Adresse oder
Überprüfung der Iidentität des Besuchers vorgesehen. Nach Eingabe des neuen
Kennwortes ist der Angreifer sofort online angemeldet und kann in "Mein ADAC" gepeicherte
Daten wie Anschrift und Telefonnummer des ADAC-Mitgliedes abrufen.

Unsichere Methode: Wer im Besitz der ADAC-Karte eines Mitgliedes ist, kann das Online-Passwort ändern.

Hat der Karteninhaber im Online-Bereich auch eine Kontonummer gespeichert, dann ermöglicht der Webshop über das Optionsfeld "Per Bankeinzug bezahlen, meine Daten sind bekannt" sehr wahrscheinlich auch das Bestellen von Artikeln auf fremde Rechnung mit geänderter Lieferadresse.

Die Adresse des Mitgliedes auslesen und die Lieferadresse ändern. Die Kontodaten sind ja bekannt. Kann hier ein Angreifer auf fremde Rechnung Waren bestellen?

Das Problem erscheint umso brisanter, weil den meisten der 16 Millionen ADAC-Mitglieder
nicht bewusst ist, dass die Mitgliedskarte einen hohen Wert besitzt. Linux Magazin
Online hat den ADAC nach einer Stellungnahme gefragt und vom Stellvertretenden Leiter für Externe Kommunikation Roman Breindl, auch zuständig für den Online-Auftritt folgende
Antwort erhalten:
"Das Problem stellt unserer Meinung nach nur eine theoretische Lücke dar. Im Gegensatz
zu etwa EC- oder Kreditkarten-Anbeitern ist der ADAC kein Ziel von derartigen
kriminellen Angriffen. Zudem ist der mögliche anrichtbare Schaden nicht mit dem bei etwa
Kreditkarten vergleichbar. Unseren Mitgliedern ist bewusst, dass die Mitgliedskarte
wertvoll ist und nicht im Auto liegen gelassen werden sollte.
Wir kennen das Problem, betrachten es aber nicht als gravierend. Schon die
Tatsache, dass von den über 16 Millionen ADAC-Mitgliedern jedes Jahr maximal 4
Hinweise darauf bei uns eingehen, zeigt uns, dass das Problem übersichtlich ist.
Adress- oder Bank-Daten finden Sie ja heute auch auf jedem Briefkopf.

Der Schaden, der Ihnen durch diese Daten, die auf einem Zettel vermerkte
EC-Geheimnummer im gestohlenen Geldbeutel oder das Ausnutzen eines fremden,
Bluetooth-fähigen Telefons entstehen können, sind spürbar größer und realer, als die
Risiken beim vorsätzlichen Missbrauch der ADAC-Mitgliedsnummer.

Der ADAC nimmt natürlich seine Mitglieder in Schutz. Sollte jemand auf der ADAC.de das
Opfer eines Online-Betrügers werden, wird ihm kein Schaden enstehen, sondern wir
stornieren die unfreiwilligen Bestellung. Und im Zuge eines weiteren Ausbaus unseres
Online-Angebotes, wo die Benutzer mehr Funktionen erhalten, sind auch andere
Shop-Systeme geplant. Können weitere Daten geändert werden, steigen auch die
Sicherheitsvorkehrungen, um das zu verhindern."

Auf die Frage, ob auch die Kontodaten auslesbar sind und ob es Fälle gab, wo Angreifer erfolgreich auf fremde Rechnung Waren bestellt hatten, konnte der Sprecher des ADAC keine Angaben machen. Es fänden jedoch zahlreiche Prüfung statt, bevor Online-Bestellungen abgewickelt werden. Eine Bestellung über italienische Mautkarten im Wert von 50.000 Euro wie im Screenshot unten hat da wohl keine Chance.

Welche Plausibilitäts-Prüfungen der Webshop durchführt, konnte der ADAC auf Nachfrage nicht beantworten, aber der Sprecher geht davon aus, das so eine Bestellung sicher nicht funktioniert.

Ähnliche Artikel

  • Abfluss frei?

    Je vernetzter die Technik, umso mehr Daten fließen in die Hände Dritter. Dieser Artikel erklärt, wie und wo Daten unnötig in die Umwelt entweichen und was jedermann dagegen tun kann, tun sollte.

  • Jahresrückblick - Die Top-Artikel und -News 2008

    Das Jahr 2008 neigt sich dem Ende zu. Welche Trends und Hypes das Jahr begleiteten, haben Sie entschieden: Wir stellen Ihnen die meistgelesensten Artikel und News der vergangenen zwölf Monate vor.

comments powered by Disqus

Ausgabe 06/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.