Online-Rechnungen ermöglichten Zugriff: Datenleck bei Libri
Und abermals ein Datenleck: Der Großbuchhändler Libri schlampte bei seinen Online-Rechnungen. Mit einem simplen Trick ließen sich neben der eigenen Rechnung auch alle anderen betrachten.
Auch Libri hatte ein Datenleck, es ist aber im Nachgang gestopft worden. Bild: screenshot libri.de
BERLIN ap/taz | So standen beim Großbuchhändler Libri längere Zeit etwa 500.000 Buchbestellungen mit Adressen der Kunden ungesichert im Netz, wie der Hamburger Datenschutzbeauftragte am Donnerstag mitteilte. Markus Beckedahl vom Blog netzpolitik.org, dem die Daten zugespielt wurden, "konnte sich dort durchklicken und alles sehen", teilte er mit.
Wer von libri.de einen Link zu seiner Rechnung als PDF-Datei erhalten hatte, konnte die in dem Link enthaltene Rechnungsnummer so verändern, dass er auch auf jede andere Rechnung Zugriff hatte.
In den Dokumenten standen die Kundenadresse, das Kaufdatum, die gekauften Produkte, Preis, Rechnungsnummer, Kundennummer, der Partner vor Ort, also über welche Buchhandlung man sich das Produkt ausliefern lassen möchte, sowie die Bezahlungsweise. Kontonummern seien nicht enthalten gewesen.
Libri bestätigte, dass es eine Sicherheitslücke gegeben habe. Man habe "unverzüglich reagieren und die Lücke schnell schließen" können, erklärte das Unternehmen. Kundendaten seien offenbar nicht in Umlauf gekommen. Markus Beckedahl, dem die Daten vorlagen, sagte, er habe die Daten gelöscht, wisse aber nicht, ob jemand anderes innerhalb der letzten 18 Monate ebenfalls auf diese habe zugriefen können.
Erforderlich, so Beckedahl, sei ein neues Datenschutzgesetz. Dies sollte höhere Haftungsrisiken einschließen, außerdem sollte nach einem Datenleck verpflichtend eine Nachricht an die betroffenen Kunden gehen. Nicht zuletzt sei es auch erforderlich, die Datenschutzbehörden besser auszustatten.
Leser*innenkommentare
truestory
Gast
…na...weil es doch Gründe für derartige Vorfälle gibt…aber keine Namen – to whom it may concern:
Es war einmal eine kleine, dumme Agentur, die hat in zwei Jahren mühevoller Vorarbeit mit ihrem Netzwerk einen komplexen Downloadshop für Hörbücher entwickelt …
und geriet an einen Geschäftsführer eines grossen eShops, der einen ganz schlauen Rechtsanwalt in seinem ach so seriösen, grossen Unternehmen beauftragte, einen cleveren "Kooperationsvertrag" zu formulieren…
mit geschickten Winkelzügen ist es dem schlauen, so gerissenen Geschäftsführer dann sehr schnell gelungen, für diese Entwicklungsarbeit keinen einzigen Cent zu bezahlen….
und auch noch das Netzwerk der kleinen, dummen Agentur dabei zu zerstören…
und er freute sich und fragte genüsslich: "Wissen Sie eigentlich, WAS Sie da unterschrieben haben?"…
wer so skrupellos mit Geschäftspartnern umgeht, für Leistung nicht bezahlen will, der bekommt eben zum Schluss ein schlampiges, immer nur neu zusammengeflicktes System…
und gibt auch noch den geknebelten Dienstleistern die Schuld, wenn diese "Geschäftspraktiken" auch Konsequenzen haben…
ich kann vor solchen Firmen und der Zusammenarbeit nur dringend warnen, wir hatten einen Schaden im mittleren, fünstelligen Bereich…
…tja – kleine Sünden bestraft der liebe Gott sofort ….grössere….
Kritischer Bürger
Gast
Wann sieht die neue Bundesregierung endlich ein dass beim Datenschutz erheblicher Nachbesserungsbedarf besteht? Bis dahin sollten die BürgerInnen deren Einkäufe im Internet auf ein absolut und notwendiges Minimum begrenzen und stattdessen im Handel vor Ort einkaufen gehen.