Warning: Cannot modify header information - headers already sent by (output started at /home/xs001dm5/www/home/markenpost/oben.inc.php:3) in /home/xs001dm5/www/home/markenpost/oben.inc.php on line 65

Warning: preg_match() [function.preg-match]: Delimiter must not be alphanumeric or backslash in /home/xs001dm5/www/home/markenpost/system/metatag.inc.php on line 748
Datenschutz-Panne: ADAC-Karte ist ein Sicherheitsrisiko
markenpost.de
Die ist unserer alte Website, auf der Sie bisher Beiträge zu den Themen Multimedia & Internet, Wirtschaft & Finanzen, TV & Gesellschaft, Telekommunikation, Reise & Fernweh, Auto & Sport, Kultur & Lifestyle, Gesundheit, Lebensmittel & Genuss, Familie & Wohnen, Politik lesen konnten. Auf unsere neuen markenpost.de-Website, die wir für Sie optimiert haben, finden Sie jetzt aktuelle News und Nachrichten aus Politik, Wirtschaft, Finanzen, Gesundheit in gewohnter Qualität
Dienstag, 21. November 2017
MULTIMEDIA & INTERNET

Datenschutz-Panne: ADAC-Karte ist ein Sicherheitsrisiko

Datenschutz-Panne: ADAC-Karte ist ein Sicherheitsrisiko
© ddp
Bei Recherchen für einen Artikel rund um Anonymisierung und Datenschutz fanden Autoren des Linux-Magazins in den Sicherheitsmechanismen des Online-Auftrittes des ADAC eine Lücke, die es fremden Personen erlaubt, Daten der Mitglieder auszulesen und eine Warenbestellung abzuschicken.





Auf der Webseite des größten Automobilclubs Deutschlands ADAC können unbefugte Dritte die Passwörter für den Online-Zugang der Mitglieder ändern. Voraussetzung dafür ist, dass Angreifer eine fremde ADAC-Karte in ihren Besitz gebracht oder sich die darauf aufgedruckten Daten (Name, Mitgliedsnummer und Beitrittsjahr) notiert haben.

Der Knackpunkt an der Sache: Für die Funktion "Passwort ändern" ist auf der ADAC-Webseite keine Eingabe eines bestehenden Passworts, einer E-Mail-Adresse oder eine sonstige Überprüfung der Identität des Besuchers vorgesehen. Nach Eingabe eines neuen Kennwortes ist der Angreifer online angemeldet und kann so bereits die im Menüpunkt "Mein ADAC" gespeicherte Daten wie Anschrift und Telefonnummer des ADAC-Mitgliedes abrufen.

Hat der Karteninhaber im Online-Bereich auch eine Kontonummer gespeichert, dann ermöglicht der Webshop über ein Optionsfeld "Per Bankeinzug bezahlen, meine Daten sind bekannt" eine Bestellung. Andernfalls trägt der Angreifer eine fiktive Kontoverbindung ein. Deren Daten werden offensichtlich nicht überprüft, und die Bestellung kommt, wie ein Selbstversuch zeigt, innerhalb weniger Tage an.

Indem ein Betrüger eine alternative Lieferadresse einträgt, ist ihm auch möglich, sich Artikel auf fremde Rechnung zu erschleichen. Das ADAC-Mitglied erhält dabei nur eine postalische Benachrichtigung über eine fehlende Einzugsermächtigung, die aber keinen Hinweis auf eine Online-Bestellung enthält.

Quelle: Linux-Magazin
Warning: preg_match() [function.preg-match]: Unknown modifier ')' in /home/xs001dm5/www/home/markenpost/news.php on line 524


Quelle: www.linux-magazin.de/


Warning: preg_replace() [function.preg-replace]: No ending delimiter '&' found in /home/xs001dm5/www/home/markenpost/news.php on line 594

Warning: preg_replace() [function.preg-replace]: No ending delimiter '&' found in /home/xs001dm5/www/home/markenpost/news.php on line 596