MSNBC: Kreditkarten vom Server geholt

17. Jänner 2000, 13:17

Kartennummern ein offenes Geheimnis

Wer bedenkenlos per Kreditkate im Web bezahlt, sollte sich das noch einmal überlegen. Letzten Donnerstag entwendete MSNBC 2500 Kreditkarten-Nummern von kleineren E-Commerce-Servern. Und das ohne Schwierigkeiten: Bei der Recherche kontaktierte man die Webserver nicht wie üblich per Browser, sondern mit einer Datenbank, SQL Server von Microsoft. Die Kreditkartennummern steckten nicht nur in unverschlüsselten Text-Dateien, die Datenbanken liefen auch unter dem voreingestellten Benutzernamen und ohne Passwort.

Herausgefunden hat die Sicherheitslücke ein russischer Software-Hersteller, Strategy LLC. Dessen Chef Anatolij Prochorow hatte noch versucht, die unvorsichtigen E-Commerce-Anbieter zu verständigen - ohne Erfolg.

"So viel Unprofessionalität können wir uns gar nicht erklären", sagte Prochorow. Die Programmierer von Strategy LLC sind genau mit der Struktur von Datenbanken auf E-Commerce-Servern vertraut. Das Unternehmen stellt Software her, mit der Einkäufer übergreifend Preisvergleiche vornehmen können.

Prochorow verständigte auch Securityforum.com. Die Experten dort hatten erst eine Woche zuvor als erste den Einbruch bei CD Universe gemeldet (ZDNet berichtete). Damals hatte ein Hacker 300.000 Nummern von Kreditkarten entführt. Einer der Mitarbeiter, Elias Levy, vermutet: "Das ist alles nur ein Abbild in klein von dem, was draußen wirklich los ist. Man muss sich vorstellen, was Strategy LLC gefunden hätten, wenn sie wirklich gesucht hätten." (ZDNET)

Share if you care.