Bei 170 internationalen und deutschen Online-Apotheken konnten User auf der Plattform Einblick in die Daten aktiver Kunden bekommen und Namen, Adressen und die Kontodaten der Betroffenen einsehen. Entdeckt haben die Sicherheitslücke Forscher der Universität Bamberg; zuerst darüber berichtet haben am Donnerstagmorgen NDR und WDR, wie auf Spiegel Online zu erfahren ist.
Die Internetnutzer konnten in der Internetadresszeile die Wörter «server-status» eingeben und schon öffnete sich auf dem Bildschirm eine Liste aller Vorgänge, die gerade auf dem Server der Online-Apotheken stattfanden. In dieser Liste fanden sich sogenannte Session-IDs von Kunden, mit deren Hilfe Fremde in das Profil eines Kunden hätten eindringen können, der gerade online war.
Dominik Herrmann vom Bamberger Lehrstuhl für Privatsphäre und Sicherheit in Informationssystemen erklärte auf «Spiegel»-Anfrage, die Sicherheitslücke sei für die betroffenen Apotheken «ein Desaster»: Medizinische Daten beziehungsweise Daten zu Medikamentbestellungen gehörten zu den kritischsten Daten, mit denen man als Unternehmen hantieren könne. So wirbt die Sanicare-Website beispielsweise mit dem Motto «Vertrauen ist die beste Medizin».
Dass Dritte wirklich die Chance hatten, in fremde Profile einzudringen, habe er mit eigens für den Nachweis angelegten Test-Accounts ausprobiert, berichtet Herrmann. Auf die Fährte des Problems hatte die Bamberger Forscher ein Nutzer ihrer Website «PrivacyScore» gebracht. Das Portal ermöglicht es, Websites automatisch auf gängige Datenschutz- und Sicherheitsprobleme hin untersuchen zu lassen.
