Online-Buchhändler: Sicherheitslücke bei Libri größer als angenommen

Hamburg (RPO). Die Datenpanne beim Online-Buchhändler libri.de ist offenbar größer gewesen als angenommen. Das Internet-Blog Netzpolitik.org berichtete, dass die Libri-Konten vieler Buchhändler nicht ausreichend gesichert gewesen seien. Es sei mit Hilfe eines kleinen Tricks gelungen, sich Zugang zu verschaffen.

Mehr zum Thema

Chronik der Datenskandale 

"Die neuerlichen Weiterungen des Falles dokumentieren ein erschreckendes Ausmaß an Unkenntnis und Nachlässigkeit im Umgang mit Daten und der Datensicherheit", erklärte der Hamburger Datenschutzbeauftragte Johannes Caspar am Freitag. Libri.de teilte mit, man habe die Sicherheitslücke noch am Donnerstagabend geschlossen.

"Wir hatten Zugriff auf die kompletten Bestellstatistiken, die Bestellhistorie, Beleghistorie und Kundenliste mit Mail- und Postadresse", heißt es in dem Blog. "Dazu hätten wir die Möglichkeit gehabt, einen Shop 'zu übernehmen', indem wir die Zugangs- und Kontaktdaten ändern."

Erste Lücke am Donnerstag aufgetaucht

Mehr zum Thema

Der kleine Passwort-Knigge 

Erst am Donnerstag war bekanntgeworden, dass etwa 500.000 Buchbestellungen der Kunden längere Zeit ungesichert im Internet standen. Die Daten enthielten die Adressen der Kunden sowie den Titel der von ihnen bestellten Bücher samt Rechnung. Libri.de ist einer der größten deutschen Marktplätze für Bücher und verwandte Produkte wie CDs, DVDs oder Downloads.

Ein Schaden ist laut Libri nicht entstanden. Kundendaten seien nicht in den Umlauf gekommen. Ebenso seien zu keinem Zeitpunkt Zahlungsdaten von Kunden betroffen gewesen, hieß es weiter.

Laut "Spiegel Online" hatte ein Kunde des Online-Buchhändlers das Blog Netzpolitik.org auf das Datenleck aufmerksam gemacht. Dessen Betreiber probierte die Sicherheitslücke aus und stellte fest: Wer eine Rechnung als PDF-Dokument heruntergeladen hatte, bekam dafür offenbar eine fortlaufende Nummer. Gab man eine andere Nummer ein, konnte man sich auch die Rechnungen anderer Kunden ansehen - mit Namen, Anschriften, Rechnungsnummern und bestellten Artikeln.

Fotos

Die gefährlichsten Promis im Internet 

"Wer sich ein Sachbuch über das Leben mit Depressionen oder erotische Unterhaltungsliteratur bestellt, mag gute Gründe haben, dies nicht über seinen lokalen Buchhändler zu tun", sagte Caspar. Aus den Buchbestellungen ließen sich Rückschlüsse auf Geschmack, Hobbys und Vorlieben ableiten sowie Einblicke in soziale Probleme. "Solche Daten gehören auf keinen Fall in fremde Hände", sagte der Datenschützer.

Beunruhigend ist nach Ansicht von Caspar, dass Libri vom TÜV Süd am 7. Mai mit dem sogenannten Safer-Shopping-Zertifikat ausgezeichnet wurde. Ausdrücklich werde darin auf die Sicherheit von personenbezogenen Daten der Online-Kunden sowie auf die Durchführung eines "Datenschutz-Kurzchecks" hingewiesen.

Weitere Fotos zu diesem Thema