Sensible Kundendaten offen im Netz Große Sicherheitslücke bei Online-Apotheken
News folgenDie Daten von Kunden vieler Online-Apotheken sind zu schlecht gesichert. Das berichten NDR und WDR. Laut dem Bericht konnten Unbefugte Kontodaten von Kunden und bestellten Medikamente sehen. Mehr als 170 Online-Apotheken sind von der Sicherheitslücke betroffen.
Betroffen sind laut NDR und WDR Online-Apotheke wie "Sanicare" oder "Apotal". Hier konnten Fremde Online-Bestellungen mitlesen.
Dazu musste nur in der Adresszeile der Versandapotheke die Wörter "server-status" ergänzt werden und es erschien eine Liste aller Vorgänge, die auf dem
Server der Online-Apotheken stattfanden.
Mithilfe von Session-IDs von Online-Kunden konnten Fremde die Profile von Kunden ausspähen. Auf den Fehler war Dominik Herrmann vom Lehrstuhl Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg gestoßen.
Lücke wurde erst am Dienstag geschlossen
Diese Lücke bestand auf manchen Servern bis Dienstagmittag und wurde erst geschlossen, nachdem NDR und WDR Fragen an die Plattform-Betreiber verschickt hatten.
Betroffen waren von dem Datenleck neben großen Versandapotheken wie Sanicare und Apotalaftler auch über 170 kleinere Apotheken, die die gleiche Software von Awinta für ihren Shop einsetzen. Laut den Anbieter wurden die Ursache für den Fehler erst am Dienstag behoben.
Laut dem Bericht haben von den 20.000 Apotheken in Deutschland mehr als 3000 die Erlaubnis, Medikamente online zu versenden. Doch nur etwa 150 betreiben laut dem Bundesverband Deutscher Versandapotheken "einen
ernstzunehmenden Versandhandel".
