Autoren des Linux-Magazins haben offenbar eine eklatante Sicherheitslücke auf der Website des ADAC entdeckt, die es fremden Personen erlaubt, Daten der (Online-)Mitglieder auszulesen und eine Warenbestellung abzuschicken.
Das Problem: laut Linux-Magazin ist für die Funktion “Passwort ändern” auf der ADAC-Webseite keine Eingabe eines bestehenden Passworts, einer E-Mail-Adresse oder eine sonstige Überprüfung der Identität des Besuchers vorgesehen.
Die Folge: haben sich kriminell ambitionierte, unbefugte Dritte eine fremde ADAC-Karte besorgt oder sich die darauf aufgedruckten Daten (Name, Mitgliedsnummer und Beitrittsjahr) notiert, können sie über die Funktion “Passwort ändern” unmittelbar auf die geheimen Daten zugreifen.
Und weiter:
“Hat der Karteninhaber im Online-Bereich auch eine Kontonummer gespeichert, dann ermöglicht der Webshop über ein Optionsfeld “Per Bankeinzug bezahlen, meine Daten sind bekannt” eine Bestellung. Andernfalls trägt der Angreifer eine fiktive Kontoverbindung ein. Deren Daten werden offensichtlich nicht überprüft, und die Bestellung kommt, wie ein Selbstversuch zeigt, innerhalb weniger Tage an” (Quelle: Linux-Magazin.de)
Mehr Infos: Linux-Magazin
[via: Turi2]
