Drucken
27.03.2008, 15:49 Uhr | Christoph Schmidt
Sicherheitslücke: Unbefugte können über die ADAC-Seite Daten von Mitgliedern einsehen. (Quelle: t-online.de)Das Online-Angebot des ADAC weist offenbar eine gravierende Sicherheitslücke im Mitgliederbereich auf. Wie IT-Experten des Linux Magazins berichten, können Unbefugte ohne große Hindernisse an die persönlichen Daten von ADAC-Mitgliedern gelangen, Passwörter ändern und sogar Waren auf die Rechnung der gehackten Personen bestehlen. Dazu benötigen sie lediglich Informationen, die für jedermann lesbar auf der ADAC-Mitgliedskarte aufgedruckt sind. Der Autoclub kennt das Problem, sieht jedoch keinen Anlass zu handeln.
LückeSo nutzen Angreifer das Sicherheitsleck aus
Klick-Show 10 Regeln für ein sicheres Passwort
Klick-Show20 goldene Regeln für einen sicheren PC
Foto-Show mit DownloadsFreeware gegen Datenspione
Exklusiver Bereich mit Datenlücke
Autoren des Linux Magazins entdeckten bei Recherchen zum Thema Datenschutz die Lücke im Online-Zugang des ADAC. Das Leck ermöglicht es Angreifern, Mitgliederdaten zu betrachten und sogar Warenbestellungen abzuschicken. Hierfür benötigen sie lediglich die Daten einer ADAC-Mitgliedskarte, auf der Name, Mitgliedsnummer und Beitrittsjahr stehen. Die Lücke sitzt dabei in der Option Passwort vergessen. Angreifer können sich mit den oben genannten Informationen ohne Passwortbestätigung ein neues Passwort erstellen und erhalten mit diesem vollen Zugriff auf das eigentlich geschützte Mitgliederprofil.
Machen Sie den Test Wie sicher ist Ihr PC?
Schutz vor Phishing-AttackenSo haben Datendiebe keine Chance
Das BKA empfiehlt Die besten Anti-Phishing-Tipps
Zugriff auf "Mein ADAC"
Nun kann sich ein Angreifer online anmelden und alle im Menüpunkt Mein ADAC gespeicherten Daten wie Anschrift oder Telefonnummer einsehen. Hat das ADAC-Mitglied zudem eine Kontonummer hinterlegt, ermöglicht der Internet-Shop des ADAC die Bestellung von Waren. Angreifer können sich durch die Eingabe einer alternativen Lieferadresse so Artikel auf fremde Rechnung bestellen. Dabei bietet der ADAC-Shop nicht nur Straßenkarten oder Urlaubsbücher: Neben teuren Fahrrädern stehen Handys oder Sammlerobjekte im Sortiment des Autoclubs.
Kauf mit fiktiver Kontonummer
Die Bestellung funktioniert allerdings auch mit der Eingabe einer fiktiven Kontonummer, wie ein Selbstversuch der Autoren des Linux Magazins bestätigte. Offenbar werden diese Daten vom System zunächst nicht geprüft. Redakteur Markus Feilner bestellte zwei Vignetten auf eine erfundene Kontonummer und bekam diese auch nach Hause geschickt. Wenige Tage später bekam er allerdings einen Brief vom ADAC. In diesem wurde er gebeten, die Kontodaten nachmals anzugeben, da Bankleitzahl und Kontonummer nicht zueinander passten.
ADAC wiegelt ab
Dem ADAC ist die Lücke bekannt, er wiegelt allerdings ab: "Wir kennen das Problem, betrachten es aber nicht als gravierend", sagte Roman Breindl vom ADAC gegenüber dem Linux Magazin. Bei 16 Millionen Mitgliedern gebe es jährlich "maximal vier Hinweise" auf Missbrauch. Somit sei das Problem "übersichtlich". Tatsächlich könnte die Sicherheit der ADAC-Nutzer mit einfachen Standardverfahren wie etwa einer eMail-Bestätigung bei Passwortänderungen problemlos erhöht werden. Der ADAC will dennoch nicht reagieren und empfiehlt besorgten Nutzer stattdessen, ihren Anmeldenamen von der Mitgliedsnummer in die eigene eMail-Adresse zu ändern. Das sei sicherer.
Christoph Schmidt
Bitte füllen Sie alle Felder aus.
Sie sind der Meinung, dass dieser Kommentar anstößige Inhalte enthält.
Die Spezialkollektion für jede Kör-
perform: perfekt für Business und Freizeit. zum XXL-Special
Extravagante und schicke Damen-
mode für die neue Saison: jetzt online bestellen. von WENZ
Edle Design-Möbel, die Platz sparen und Stauraum bieten - jetzt günstig!
von FASHION FOR HOME
Internet Explorer 9: Flotter Seiten- aufbau bei voller Sicherheit. mehr
Neues Oberklassen-Smartphone mit 4,7-Zoll-Display. zum Video
0 Kommentare
