Sicherheitslücke im Fanshop des 1. FC Köln

onlineshop-fckoeln

Netzpolitik hat wieder einmal ein Datenleck entdeckt. Dieses Mal aber nicht beim Online-Händler Libri, bei der Sparkasse oder bei SchülerVZ, sondern im Fanshop des 1. FC Köln. Dem Beitrag zufolge wurden Netzpolitik Informationen über eine Sicherheitslücke zugespielt, durch die man fremde Nutzerprofile übernehmen könne. So werden für neue Clubmitglieder automatisch Fanshop-Konten erstellt. Als Login dient der Vor- und Nachname. Das Standardpasswort ist die jeweilige Mitgliedsnummer. Das Problem sei allerdings, dass diese Nummern beispielsweise in der hauseigenen Fanpostille – insbesondere bei Berichten über prominente Mitglieder – veröffentlicht werden. Nimmt man jetzt den Vor- und Nachnamen sowie die abgedruckte Mitgliedsnummer, kann man sich laut Netzpolitik fast problemlos einloggen, da viele Mitglieder die Zugangsdaten nicht geändert haben und teilweise auch gar nicht wissen, dass sie ein automatisch eingerichtetes Nutzerkonto im Fanshop des 1. FC Köln besitzen. Autsch.

Auf der Seite konnten wir einerseits Adressen abgreifen. Andererseits war es auch möglich, selbst eine Email-Adresse nachzutragen und dann die Benutzerkonten für Bestellungen zu missbrauchen. Wir hätten Guildo Horn 100 T-Shirts nach Hause schicken können – zahlbar per Nachnahme.

Und als wäre das nicht schon genug, ist nun bekannt geworden, dass die Sicherheitslücke bereits seit zwei (!!) Jahren bekannt sei und dass scheinbar kein zuständiger Fanshop-Mitarbeiter etwas unternommen habe, um das Problem aus der Welt zu schaffen. Der Tippgeber, der Netzpolitik die Infos übrigens zugespielt hat, will eigenen Angaben zufolge bereits mehrmals mit dem Club in Kontakt getreten sein und diesen über die konkrete Sicherheitslücke informiert haben. Doch geändert habe sich bis gestern nichts.

Mittlerweile hat sich auch der 1. FC Köln zu dem Fall geäußert:

Der Datenschutz der Mitglieder- und Kunden Daten liegt dem 1. FC Köln sehr am Herzen. Um Missbrauch vorzubeugen und die persönlichen Mitglieds- und Kundendaten zu schützen, haben wir für alle Mitglieder ein neues Passwort für den Zugang zu unseren Online-FanShop erstellt, das zufallsgeneriert wurde. Mitglieder können Ihr neues Passwort ab sofort in unserem Online-FanShop abrufen. […] Wir denken, dass wir damit einen möglichen Missbrauch beim Mitglieder-Login ausschließen können.

04. November 2009 von Michael Friedrichs
Kategorien: Internet | Schlagwörter: , , , | 1 Kommentar

1 Kommentar

  1. Hmmm, also das ist ja keine Sicherheitslücke im eigentlichen Sinn, sondern eher ein komplett planloser Umgang mit dem Shopsystem. Und zusätzlich eine Missachtung von Hinweisen, dafür sollten eigentlich Kündigungen geschrieben werden!