Datenleck legt Kundendaten von "Kurier" und "Krone" offen

16. Jänner 2014, 09:57
202 Postings

Name, Anschrift und Kontonummer einsehbar - Sicherheitslücke wurde mittlerweile beseitigt

Wer vor kurzem eine E-Mail der "Kronen Zeitung" bekam, hatte theoretisch Zugriff auf Abodaten des Blatts, behauptet ein Programmierer. Eine E-Mail vom Kundenservice der "Krone" weckte das Interesse von Roman Ranzmaier. Das Schreiben landete irrtümlicherweise in seiner Inbox, obwohl es an seinen Nachbarn adressiert war. Darin wurde dieser gebeten, seine Bankdaten für die Abogebühr der Zeitung zu bestätigen. Ein Vorgang, der durch die Einführung von SEPA notwendig geworden sei. Mit dem einheitlichen Euro-Zahlungsverkehrsraum SEPA werden die bisherigen Kontonummern und Bankleitzahlen in neue internationale Kontonummern umgewandelt, die sogenannten IBAN.

Sechsstellige Nummer

Als Ranzmaier auf einen Link in der E-Mail-Nachricht klickte, wurde automatisch ein PDF-Dokument erzeugt. Darin fand er Daten wie Name, Anschrift und Bankdaten seines Nachbarn. Die Neugier des Programmierers war geweckt: Er nahm den Link unter die Lupe und will herausgefunden haben, dass man auch auf Daten anderer Abonnenten zugreifen konnte. Der Grund: Jedem E-Mail-Empfänger wurde eine sechsstellige Nummer zugeordnet.

"Jeder Hauptschüler kann das besser"

"Ich habe ein Programm geschrieben, das weitere Kundennummern ausprobiert und tatsächlich Daten weiterer Abonnenten zutage fördert", sagt Ranzmaier dem WebStandard. Dieses Datenleck hätte einfach vermieden werden können, betont er. "Jeder Hauptschüler kann das besser programmieren. Der Link hätte einfach auf eine Seite mit einer Passwortabfrage führen müssen", erklärt Ranzmaier und warnt: "Würde ich das Programm auf einem Server laufen lassen, hätte ich innerhalb eines Tages wohl alle Abodaten der 'Kronen Zeitung'. Mit diesen Daten lässt sich dann auch eine Abbuchung vom Bankkonto der Kunden durchführen."

Lücke rasch geschlossen

Mediaprint-Geschäftsführer Gerhard Riedler wurde am Mittwochnachmittag über das Datenleck informiert. Das Medienhaus hat rasch reagiert und die Lücke innerhalb weniger Stunden geschlossen. 

Auch "Kurier"-Abonnenten betroffen

Neben Lesern der "Kronen Zeitung" waren offenbar auch "Kurier"-Abonnenten von dem Datenleck betroffen. "Diese E-Mail wurde auch an unsere Kunden verschickt", bestätigt "Kurier"-Geschäftsführer Thomas Kralinger dem WebStandard. "Wir gehen aber davon aus, dass kein Kunde Daten von anderen Kunden gesehen hat", sagt Kralinger. (Markus Sulzbacher, derStandard.at, 16.1.2014)

Link

Homepage von Roman Ranzmaier

  • Die Mediaprint hat rasch reagiert und die Lücke innerhalb weniger Stunden geschlossen
    foto: standard/cremer

    Die Mediaprint hat rasch reagiert und die Lücke innerhalb weniger Stunden geschlossen

Share if you care.