Große Datenpanne bei Libri.de

Datenleck beim Online-Buchhändler libri.de: Internet-Nutzer konnten auf 500 000 Rechnungen zugreifen. Bild: ddp
Datenleck beim Online-Buchhändler libri.de: Internet-Nutzer konnten auf 500 000 Rechnungen zugreifen. Bild: ddp

Tausende Kundenrechnungen des Online-Buchhändlers libri.de standen ungesichert im Internet. Mit einem Trick waren die Daten für jeden Nutzer einsehbar.

von
30. Oktober 2009, 10:49 Uhr

Hamburg (dpa) - Beim Online-Buchhändler libri.de hat es eine große Datenpanne gegeben. Insgesamt 500 000 Rechnungen von Kunden des Grossisten waren über einen kleinen Umweg für jeden Internet-Nutzer aufzufinden.

Das Unternehmen räumte den Fehler ein. «Wir konnten unverzüglich reagieren und die Lücke schnell schließen, bevor ein Schaden entstand», teilte Libri am Donnerstag in Hamburg mit. «Solche Daten gehören auf keinen Fall in fremde Hände», sagte der Hamburger Datenschutzbeauftragte Professor Johannes Caspar.

Libri: keine Zahlungsdaten von Kunden betroffen

«Wer sich ein Sachbuch über das Leben mit Depressionen oder erotische Unterhaltungsliteratur bestellt, mag gute Gründe haben, dies nicht über seinen lokalen Buchhändler zu tun.» Die Daten auf den Rechnungen hätten viele Rückschlüsse auf das jeweilige Persönlichkeitsprofil des Kunden zugelassen.

Die Kundendaten seien nach Analyse der Logfiles aber nicht in Umlauf gekommen. Ebenso seien zu keinem Zeitpunkt Zahlungsdaten von Kunden betroffen gewesen, teilte der Online-Buchhändler mit. Libri.de betreibt einen großen Online-Shop für Bücher und arbeitet als Dienstleister für rund tausend Buchhändler.

Manipulierter Link führte zu anderen Kundenrechnungen

Der Anbieter lässt seine Datensicherheit regelmäßig durch den TÜV prüfen. Die fehlerhafte Software, durch die das Datenleck entstand, sei aber vermutlich erst nach der letzten Prüfung eingesetzt worden, sagte Caspar. Somit konnte der Fehler vermutlich nicht rechtzeitig erkannt werden. Andernfalls könne die Panne auch für den TÜV Süd ein Nachspiel haben.

Ein Kunde des Online-Buchhändlers hatte den Blog netzpolitik.org auf das Datenleck aufmerksam gemacht, der nach entsprechender Prüfung umgehend Libri informierte. Dem Kunden war der Link seiner Online-Rechnung suspekt vorgekommen. Der Link endete mit einer sechsstelligen Zahl. Testweise veränderte er die Zahl in der Adresse und gelangte mit jeder Änderung auf die Rechnung eines anderen Kunden - inklusive Anschrift, Rechnungsnummer und den bestellten Artikeln.

Mitarbeiter des Blogs hatten zum Test nach eignen Angaben mit Hilfe weniger Programmierschritte innerhalb von einer halben Stunde 20 000 der 500 000 Dokumenten automatisch herunterladen können.

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen