News & Rumors: 26. July 2012,

ClickandBuy: Die Sicherheitslücke, von der niemand wissen wollte

ClickandBuy Screenshot Webseite
ClickandBuy Screenshot Webseite

Online einkaufen, ohne dabei Geld auszugeben? Das hätte man bis vor zwei Tagen noch bei ClickandBuy gekonnt. Dann nämlich wenn man sich mit moderatem Aufwand die Zugangsdaten von Kunden des Telekom-Bezahldienstleisters über eine Sicherheitslücke besorgt hätte.

Die Webseite von heiseSecurity berichtete über eine Sicherheitslücke, die einer der Leser gefunden hat. Über einen speziell präparierten Link, den man über simple Bot-Netze an tausende von Nutzern hätte schicken können, wäre man so in den Genuss von Logindaten der Nutzer gekommen. Unbemerkt hätte man so sicherlich erst einmal eine Menge geldwerten Schaden anrichten können.

Taube Ohren

Der Leser von heiseSecurity hatte Anfang Juli ClickandBuy angeschrieben, aber keine Antwort erhalten. Auch heiseSecurity hatte erst keinen Erfolg. Ganz gleich ob Support oder Pressestelle. Eine Antwort erhielt man erst mit über einer Woche Verzögerung.

Als dann schließlich am 24ten Juli ein Artikel über die Sicherheitslücke online ging, wurde binnen eines Tages selbige geschlossen. Keiner weiß, wie lange die Lücke tatsächlich vorhanden war. Denn sie kann weit vor dem Fund des heiseSecurity-Lesers schon bestanden haben.

Bedauern, das nichts kostet

Zunächst äußerte man “tiefstes Bedauern”, dass es so lange gedauert hätte, bis man geantwortet habe, dann bestätigte man das Problem jedoch. Es wurde eine Ausrede präsentiert, in der Form, dass man für seine Sicherheitspolitik unter anderem auf die Dienste von McAfee Secure zurückgreife. Die spezielle Webseite, über die es möglich war, die Zugangsdaten der Nutzer einfach abzugreifen, wurde aber nicht überprüft. Das kommt davon, wenn man Dienst nach Vorschrift tut. Aber wer will es McAfee verdenken. Denn grundsätzlich liegt die Verantwortung beim Unternehmen, das den Dienstleister hätte anweisen müssen, auch diese Seite zu überprüfen.

Unklar ist, warum diese Seite nicht mit in das Prüfintervall aufgenommen wurde. Denkbar wäre vielleicht – um einer Abmahnung aus dem Weg zu gehen -, dass nur eine begrenzte Zahl an Webseiten getestet wird, weil es sonst zu teuer wird, und sich “der Spaß” vielleicht nicht mehr rentiert.

Erklärungen, die nicht weiterhelfen

Dann tritt die Telekom-Tochter aber in alter Tradition eines Staatsunternehmens (das die Telekom ja mal war) vor die Öffentlichkeit und gibt analog zur DB eine eher merkwürdige Erklärung bekannt. Dass der Fehler so lange nicht behoben wurde lag an einem “Fehler in der internen Zuordnung”, der jetzt beseitigt sei. Was bitteschön ist ein Fehler in der internen Zuordnung? Zuordnung wovon? Immerhin geht es dabei um das Geld von vielen Menschen, sicherlich nicht um das des Rockzipfels der Presseabteilung.

Man könnte diese Formulierung von einem “Fehler in der internen Zuordnung”, der nun beseitigt sei, sicherlich auch interpretieren als – “Da hat jemand Mist gebaut, und wir haben ihn fristlos gekündigt. Wird hoffentlich nicht wieder vorkommen.” Was mich trotzdem ärgert ist, dass man die eigenen Kunden im Unklaren lässt. “Aber” laut ClickandBuy gegenüber heiseSecurity gibt es keine Hinweise darauf, dass die Lücke tatsächlich ausgenutzt wurde, um Kunden um ihr Geld zu bringen. Und weil man “glaubt”, dass nichts passiert ist, muss man seine Kunden auch nicht darüber informieren, dass etwas passiert sein könnte, von dem man nicht sicher weiß, dass es nicht doch passiert ist. Ganz großes Kino.

Kontrolliert den Zahlungsverkehr!

Mein Tipp: Jeder sollte sich die Buchungen auf seinem ClickandBuy-Konto anschauen, die er seit seiner Anmeldung bis heute noch einsehen kann, und wenn er Unregelmäßigkeiten entdeckt, den Anbieter mit Verweis auf diese Cross-Site-Scripting-Sicherheitslücke, die er selbst bestätigte, um eine Erklärung bitten. “Unser” Geld ist viel zu schade als dass man es sich durch inkompetente Dienstleister aus dem Fenster werfen lassen müsste.



ClickandBuy: Die Sicherheitslücke, von der niemand wissen wollte
3.83 (76.67%) 18 Bewertungen

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.

Zuletzt kommentiert






 2 Kommentar(e) bisher

  •  eyeinthesky (27. Juli 2012)

    Sehr schön geschriebener Artikel. Es ging ja auch “nur” darum, dass mit erfolgreichem Missbrauch dieser Sicherheitslücke die Kernkompetenz der Firma komplett ruiniert gewesen wäre – nämlich sicher Geldgeschäfte abzuwickeln. Ähnlicher Fall wie bei gewissen SSL Anbietern, denen die Absicherung der Zertifikatsaustellungs-Stellen nicht wichtig genug ist und die sich dann – nachdem sie gehackt wundern – wundern, dass sie insolvent gehen.

  •  Jakob Rogalski (28. Juli 2012)

    Ich finde Click & Buy ja eigentlich im Zusammenhang mit iTunes sehr praktisch. Was ich allerdings schon immer unnötig fand, ist die Meldung über eine Transaktion, ohne mir zu sagen, wofür der Kauf eigentlich genau war. Dann bringt mir die Meldung schließlich nichts.

    Selbst, wenn ich mich in mein Benutzerkonto einlogge, muss ich die Rechnungsnummern mit iTunes abgleichen, bevor ich sehe für welche Inhalte ich bezahlt haben soll.

    Click and Buy ist für iTunes-Benutzer ja eine gute Sache, aber mehr Transparenz wäre mir schon immer lieber gewesen. Es sollte doch möglich sein die Produkte in einer Rechnung zu listen, nicht ihre Nummern.

    Vielleicht sollte Apple sich mal mit der Click and Buy hinsetzen und die Angelegenheit sauberer machen :-)

    Hab mit allerdings die Mühe gemacht und alle Rechnungen miteinander abgeglichen: alles OK – vielen Dank für den Tipp!


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>