WCM Forum - FH-Studenten knacken Merkur-Kundendatenbank

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - FH-Studenten knacken Merkur-Kundendatenbank (http://www.wcm.at/forum/showthread.php?t=247316)

FH-Studenten knacken Merkur-Kundendatenbank

Studenten der FH Salzburg gelang es, mittels Kundenkarten-Codes von Nocard Zugriff auf Merkur-Kundenprofile zu erlangen. Rewe erklärte, die Lücke sei geschlossen worden.
Es dauerte keine fünf Minuten, bis sich die beiden erstsemestrigen FH-Studenten des Studienzweigs Multimedia Technology in Salzburg Zugang zu Kundenprofilen von Merkur Markt-Kunden verschaffen konnten. „Wir haben den Bericht auf futurezone.at über Nocard.Info gelesen und uns in Folge ein wenig mit der offiziellen Merkur Markt-App und den Barcodes von Nocard.Info gespielt“, erklärt Student David Grübl der futurezone.
Voller Zugriff auf Daten

Die Studenten haben es auf diesem Weg binnen kürzester Zeit geschafft, Zugriff auf Kundenkarten – inklusive sämtlicher personenbezogener Daten wie Name, Adresse, Telefonnummer, Anzahl der Treuepunkte und personalisierte Rabattangebote - zu erlangen. Binnen weniger Minuten hatten sie ein Nutzer-Profil eines informierten Studienkollegen geknackt . „Wir könnten jetzt los gehen und im Merkur Markt billiger einkaufen“, so Grübl.
Stattdessen informierten die Studenten den Rewe-Konzern über die Sicherheitslücke. Die erste Reaktion war Ungläubigkeit und Erstaunen – mit dem Versprechen, sich rasch um eine Behebung des Problems zu kümmern.
Lücke geschlossen

Wenige Stunden später war es soweit: Die Sicherheitslücke wurde geschlossen. Gegenüber der futurezone ließ der Rewe-Konzern wissen: "Es ist richtig, dass uns Studenten der FH Salzburg auf eine Sicherheitslücke bei einigen wenigen über eine App selbst zu wartende Kundenkonten von Merkur aufmerksam gemacht haben. Diese Sicherheitslücke wurde sofort geschlossen", so Konzernsprecherin Ines Schurin. Der Konzern habe die beiden Studenten zudem dazu eingeladen, an einer "längerfristigen Lösung" mitzuarbeiten.
„Wir hätten uns als nächstes genauer anschauen können, wie die App mit dem Server kommuniziert und dann versuchen, alle Kundendaten abzuziehen“, erklärt Grübl. Soweit wollten die Studenten jedoch ihre Experimente nicht treiben. Grübl und sein Kollege Stephan Bönnemann installierten auf ihren Mobiltelefonen die offizielle Merkur App und scannten die Codes von Nocard.Info ein. Um Zugriff zu den Nutzerprofilen der Merkur-Markt-Kunden zu bekommen, war es lediglich erforderlich, die Postleitzahl zu erraten. „Bei 1010 Wien hatten wir binnen kürzester Zeit einen Treffer“, so Grübl.

http://futurezone.at/digital-life/fh...ank/47.341.189

Mit ein Grund nicht überall gleich eine Kundenkarte zu haben; wer weiß was mit den Daten, auch ohne Hack, passiert?

Zitat:

Widerstand gegen Kundenkarten in Österreich

In Österreich formiert sich offenbar Widerstand gegen das Sammeln von Daten mit Hilfe von Kundenkarten. Dort soll sich die Nocard verbreiten, die vor allem für Rewe ein Problem ist. Sie verwendet einen zufällig generierten Code, um "Schokolade billiger" machen und die "Datenbank füllen" zu können.

Wie in Deutschland verwendet auch in Österreich der Handel Kundenkarten, um Treuerabatte auszugeben und Daten zu sammeln. Gegen dieses Vorgehen regt sich in Österreich nun Widerstand in Form der sogenannten Nocard. Laut dem Twitter-Kanal handelt es sich dabei um einen "Kundenkarten-Generator gegen Datenkraken in Österreich", der "für mehr Einheitsbrei in Österreichs Kundenprofildatenbanken!" sorgt. Damit sollte eigentlich niemand einkaufen können, es geht allerdings wegen mangelnder Sicherheitsvorkehrungen der Supermärkte doch.

Noch folgen dem Projekt auf Twitter nur wenige Nutzer, doch allein der Bericht der Zeitung Standard dürfte für einige Aufmerksamkeit in Österreich sorgen. Dabei macht Nocard nichts Besonderes. Es wird nur ein gültiger Barcode erzeugt. Bei jedem Neuladen der Generierung erscheint in der hinteren Ziffernfolge ein neuer Code. Der Kartengenerator erzeugt Kundennummern für Bipa, Billa und Merkur. Die Märkte gehören allesamt zur Rewe-Gruppe.

Nutzung der Nocard ist strafbar

Während die Generierung der Karte nichts Schlimmes ist - es werden offensichtlich keine technischen Sicherheitsmechanismen umgangen -, ist die Verwendung der Karte verboten. Laut Standard begeht der Nocard-Nutzer Betrug, da er sich unberechtigt bereichert. Er bekommt Rabatte, obwohl er nicht für das Kundenprogramm angemeldet wurde.

Der Standard erfuhr allerdings zumindest von Billa, dass der Supermarkt nicht plant, seine Kunden anzuzeigen. Er will nur darauf hinweisen, dass die Nutzung verboten ist. Merkur hingegen erlaubt keine Kundenkarten mehr von Drittanbieter-Apps, die etwa Kundenkarten bündeln. Begründet wird dies auf der Merkur-Facebook-Seite mit Sicherheitsbedenken: Wer eine Kundenkarte mit Zufallscode einsetzt, könnte offenbar unter Umständen Rabatte anderer Kunden in Anspruch nehmen. Andererseits könnten sich auch die Treuepunkte anderer Kunden plötzlich vermehren......

Quelle und ganzer Artikel: http://www.golem.de/news/rabatte-mit...01-104014.html