FH-Studenten knacken Merkur-Kundendatenbank

Baron · 21.01.2014, 18:29

Studenten der FH Salzburg gelang es, mittels Kundenkarten-Codes von Nocard Zugriff auf Merkur-Kundenprofile zu erlangen. Rewe erklärte, die Lücke sei geschlossen worden.
Es dauerte keine fünf Minuten, bis sich die beiden erstsemestrigen FH-Studenten des Studienzweigs Multimedia Technology in Salzburg Zugang zu Kundenprofilen von Merkur Markt-Kunden verschaffen konnten. „Wir haben den Bericht auf futurezone.at über Nocard.Info gelesen und uns in Folge ein wenig mit der offiziellen Merkur Markt-App und den Barcodes von Nocard.Info gespielt“, erklärt Student David Grübl der futurezone.
Voller Zugriff auf Daten

Die Studenten haben es auf diesem Weg binnen kürzester Zeit geschafft, Zugriff auf Kundenkarten – inklusive sämtlicher personenbezogener Daten wie Name, Adresse, Telefonnummer, Anzahl der Treuepunkte und personalisierte Rabattangebote - zu erlangen. Binnen weniger Minuten hatten sie ein Nutzer-Profil eines informierten Studienkollegen geknackt . „Wir könnten jetzt los gehen und im Merkur Markt billiger einkaufen“, so Grübl.
Stattdessen informierten die Studenten den Rewe-Konzern über die Sicherheitslücke. Die erste Reaktion war Ungläubigkeit und Erstaunen – mit dem Versprechen, sich rasch um eine Behebung des Problems zu kümmern.
Lücke geschlossen

Wenige Stunden später war es soweit: Die Sicherheitslücke wurde geschlossen. Gegenüber der futurezone ließ der Rewe-Konzern wissen: "Es ist richtig, dass uns Studenten der FH Salzburg auf eine Sicherheitslücke bei einigen wenigen über eine App selbst zu wartende Kundenkonten von Merkur aufmerksam gemacht haben. Diese Sicherheitslücke wurde sofort geschlossen", so Konzernsprecherin Ines Schurin. Der Konzern habe die beiden Studenten zudem dazu eingeladen, an einer "längerfristigen Lösung" mitzuarbeiten.
„Wir hätten uns als nächstes genauer anschauen können, wie die App mit dem Server kommuniziert und dann versuchen, alle Kundendaten abzuziehen“, erklärt Grübl. Soweit wollten die Studenten jedoch ihre Experimente nicht treiben. Grübl und sein Kollege Stephan Bönnemann installierten auf ihren Mobiltelefonen die offizielle Merkur App und scannten die Codes von Nocard.Info ein. Um Zugriff zu den Nutzerprofilen der Merkur-Markt-Kunden zu bekommen, war es lediglich erforderlich, die Postleitzahl zu erraten. „Bei 1010 Wien hatten wir binnen kürzester Zeit einen Treffer“, so Grübl.

http://futurezone.at/digital-life/fh...ank/47.341.189

21.01.2014, 18:29	#1
Baron Der Unvergleichliche Registriert seit: 18.07.2002 Ort: Wien- wo sonst? Alter: 66 Beiträge: 10.166 Mein Computer	FH-Studenten knacken Merkur-Kundendatenbank Studenten der FH Salzburg gelang es, mittels Kundenkarten-Codes von Nocard Zugriff auf Merkur-Kundenprofile zu erlangen. Rewe erklärte, die Lücke sei geschlossen worden. Es dauerte keine fünf Minuten, bis sich die beiden erstsemestrigen FH-Studenten des Studienzweigs Multimedia Technology in Salzburg Zugang zu Kundenprofilen von Merkur Markt-Kunden verschaffen konnten. „Wir haben den Bericht auf futurezone.at über Nocard.Info gelesen und uns in Folge ein wenig mit der offiziellen Merkur Markt-App und den Barcodes von Nocard.Info gespielt“, erklärt Student David Grübl der futurezone. *Voller Zugriff auf Daten* Die Studenten haben es auf diesem Weg binnen kürzester Zeit geschafft, Zugriff auf Kundenkarten – inklusive sämtlicher personenbezogener Daten wie Name, Adresse, Telefonnummer, Anzahl der Treuepunkte und personalisierte Rabattangebote - zu erlangen. Binnen weniger Minuten hatten sie ein Nutzer-Profil eines informierten Studienkollegen geknackt . „Wir könnten jetzt los gehen und im Merkur Markt billiger einkaufen“, so Grübl. Stattdessen informierten die Studenten den Rewe-Konzern über die Sicherheitslücke. Die erste Reaktion war Ungläubigkeit und Erstaunen – mit dem Versprechen, sich rasch um eine Behebung des Problems zu kümmern. *Lücke geschlossen* Wenige Stunden später war es soweit: Die Sicherheitslücke wurde geschlossen. Gegenüber der futurezone ließ der Rewe-Konzern wissen: "Es ist richtig, dass uns Studenten der FH Salzburg auf eine Sicherheitslücke bei einigen wenigen über eine App selbst zu wartende Kundenkonten von Merkur aufmerksam gemacht haben. Diese Sicherheitslücke wurde sofort geschlossen", so Konzernsprecherin Ines Schurin. Der Konzern habe die beiden Studenten zudem dazu eingeladen, an einer "längerfristigen Lösung" mitzuarbeiten. „Wir hätten uns als nächstes genauer anschauen können, wie die App mit dem Server kommuniziert und dann versuchen, alle Kundendaten abzuziehen“, erklärt Grübl. Soweit wollten die Studenten jedoch ihre Experimente nicht treiben. Grübl und sein Kollege Stephan Bönnemann installierten auf ihren Mobiltelefonen die offizielle Merkur App und scannten die Codes von Nocard.Info ein. Um Zugriff zu den Nutzerprofilen der Merkur-Markt-Kunden zu bekommen, war es lediglich erforderlich, die Postleitzahl zu erraten. „Bei 1010 Wien hatten wir binnen kürzester Zeit einen Treffer“, so Grübl. http://futurezone.at/digital-life/fh...ank/47.341.189

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)