Fragen Sie lieber Ihren Informatiker

Sicherheitslücke bei Online-Apotheken entdeckt

24. Mai 2018, 15:00 Uhr | Universität Bamberg/dpa
© Pixabay
© Pixabay

Informatiker der Universität Bamberg haben eine Sicherheitslücke in den Onlineshops zahlreicher Versandapotheken aufgedeckt. Über die inzwischen geschlossene Schwachstelle bei einem Software-Anbieter hätten Unbefugte die letzten Einkäufe sowie andere persönliche Daten von Kunden ausspähen können.

Betroffen waren neben großen Anbietern wie »Apotal« und »Sanicare« etwa 170 weitere Versandapotheken. Ihre Onlineshops werden alle von der Firma »awinta GmbH« in Bietigheim-Bissingen betrieben, einem führenden Softwareanbieter für Apotheken. »Nachdem wir uns sicher waren, dass die Lücke ausgenutzt werden kann, haben wir awinta unverzüglich darauf hingewiesen«, erklärt Dominik Herrmann. Der Anbieter habe daraufhin schnell reagiert und die Sicherheitslücke auf allen Servern behoben. Nach Angaben von awinta gab es keine Hinweise darauf, dass die Lücke zu kriminellen Zwecken ausgenutzt wurde, sodass Nutzer keine Angst um ihre Daten haben müssen.

Bei der Sicherheitslücke handelt es sich um sogenanntes »Session-Hijacking«. Dabei verschafft sich ein Angreifer Zugriff auf die Browser-Sitzung eines anderen Nutzers, der gerade in einem Onlineshop aktiv ist. Durch den Angriff kann der Onlineshop den Browser des Angreifers nicht vom Browser des Opfers unterscheiden. Der Angreifer kann seinem Opfer gewissermaßen über die Schulter schauen und mitunter auch Zugriff auf alle Daten erlangen, die im Kundenkonto hinterlegt sind. »Expertenwissen braucht man dafür nicht,« sagt Herrmann.

Internetnutzer hätten lau Herrmann auf die Sitzungen zugreifen können, weil einige Webserver von awinta nachlässig konfiguriert gewesen seien. Jeder Nutzer hätte eine Status-Seite des Webservers aufrufen können, die nur für interne Zwecke vorgesehen war. Wer in der Adresszeile den Text »/server-status« an den Domain-Namen der jeweiligen Versandapotheke anhängte, sah diese Status-Seite und konnte die Sitzungskennungen (Session-IDs) anderer Nutzer unmittelbar auslesen. Um sensible Daten eines Kunden auszuspähen, hätte ein Angreifer lediglich eine solche Session-ID in seinem eigenen Browser hinterlegen müssen. Dass diese Vorgehensweise praktikabel war, wies er mit seinem Team durch eigens angelegte Testkonten nach.

Über die Lücke hatten NDR und WDR zuerst berichtet. awinta räumte gegenüber dem NDR die Sicherheitslücke ein, betonte aber, es sei nicht zu einem kriminellen Datenmissbrauch gekommen. Mittlerweile sei die Lücke auch geschlossen. Ursache sei eine fehlerhafte Einstellung gewesen.(me)


Verwandte Artikel

dpa Deutsche Presse-Agentur GmbH

dpa-News