KonfigurationsFehler bei Awinta

Schwere Sicherheitslecks bei mehr als 170 Versandapotheken

Berlin - 24.05.2018, 09:30 Uhr

(Foto: BVDVA)

(Foto: BVDVA)


Recherchen des WDR und des NDR zufolge sind bei mehr als 170 Arzneimittel-Versandhändlern schwere Sicherheitspannen aufgetreten. Konkret sollen IT-Wissenschaftler der Uni Bamberg herausgefunden haben, dass Fremde relativ einfach die Bestellvorgänge von allen gerade aktiven Kunden einsehen konnten. Dahinter steckt wohl ein Problem des Software-Anbieters Awinta.

Mehr als 170 Arzneimittel-Versandhändler hatten offenbar ein großes Datensicherheitsproblem: Wie die ARD-Tagesschau nach Recherchen von WDR und NDR am heutigen Donnerstagmorgen berichtet, konnten Internetnutzer alle aktiven Bestellvorgänge einsehen, indem sie in der Adresszeile ihres Browsers die Wörter „server-status“ eingaben. Einsehbar waren dann alle aktiven Vorgänge, die sich zu diesem Zeitpunkt auf der Seite abspielten. 

Der Tagesschau zufolge waren dort auch die sogenannten Sessions-IDs von Kunden zu sehen – offenbar hätte man mit diesem Code sehr einfach in das komplette Profil des Kunden eindringen können, wo die Mailadresse, der Klarname und alle jemals bestellten Arzneimittel aufgelistet sind. Dem Bericht zufolge war dies bis zum vergangenen Dienstag möglich, inzwischen ist der Fehler wohl abgestellt. Betroffen waren demnach sehr viele kleine Internet-Shops, aber auch namhafte Versender wie Apotal oder Sanicare.

Hinter dem Datenleck steht eine Sicherheitspanne bei Awinta

Grund für dieses Leck könnte wohl ein Problem beim Dienstleister Awinta gewesen sein. Denn alle betroffenen Versender waren Kunden bei Awinta. Eigenen Angaben zufolge sind mehr als 7000 Apotheken in Deutschland Kunde bei der Noventi-Tochter. Auf Nachfrage des WDR und des NDR gab das Unternehmen das Problem sogar zu: Laut Tagesschau hat Awinta gegenüber seinen Kunden bereits am Donnerstag vergangener Woche erklärt, die Lücke geschlossen zu haben. Außerdem sei „ein Zugriff auf die Kundenhistorie ausgeschlossen“ gewesen. Folgt man den Darstellungen der Tagesschau, ist beides falsch.

Dem Bericht zufolge teilte Awinta dann aber auf Nachfrage der Journalisten mit: „Entgegen anderslautenden internen Informationen war es tatsächlich noch möglich, auf den von ihnen genannten Webshop zuzugreifen. Die von uns bereits erwähnte manuelle Fehlkonfiguration bestand leider noch weiter.“ Inzwischen habe man allerdings die Ursache erkannt und das Problem behoben. „Zusätzlich wurden alle Sessions in den Webshops geschlossen und weitere Zugriffe damit verhindert“, so Awinta.



Benjamin Rohrer, Chefredakteur DAZ.online
brohrer@daz.online


Diesen Artikel teilen:


0 Kommentare

Das Kommentieren ist aktuell nicht möglich.