Internet ist Neuland, sagt man in Deutschland oft und gerne mit einem Schmunzeln auf den Lippen – weil man es ja angeblich besser weiß. Das scheint bei Online-Apotheken, wie Sanicare oder Apotal Medikamente, nicht der Fall zu sein. Hier gelang es Computer-Wissenschaftlern der Universität Bamberg nachzuweisen, dass man mit einfachen Tricks in Kundenprofile hätte eindringen können.
Kinderleicht gehackt per Browser
Mehr als einen Browser hätte man wohl nicht benötigt: Durch das Hinzufügen von „server-status“ an die URL in die Adressleiste konnte man einen Seite öffnen, die auch Unbefugten eine Übersicht der aktuellen Vorgänge ausgab, die gerade auf dem Server der entsprechenden Online-Apotheke ausgeführt wurden. Teil der Übersicht waren auch die Session-IDs der Kunden, die gerade online waren und mit deren Hilfe man sich problemlos bis in ihr Profil hätte vorarbeiten können – zumindest solange sie sich auf der Apotheken-Homepage befanden. Von dort hätten Kriminelle bequem Kontodaten, Adressen und eine Übersicht bestellter Medikamente einsehen können.
Sicherheitslücken in Webshops und anderen Onlineangeboten sind bei der Vielzahl an Services im Internet keine Seltenheit. Das ist natürlich eine Katastrophe für den Datenschutz, besonders wenn die Schwachstelle wie in diesem Fall vergleichsweise einfach auszunutzen ist. — Fabian Sanz, Security Researcher der Avira Protection Labs.
Mehr als 170 betroffene Apotheken
Insgesamt waren von dieser Lücke mehr als 170 Online-Apotheken betroffen. Die Gemeinsamkeit? Sie alle verwendeten die gleiche Shop-Software von Awinta, einer Firma die sich auf Apotheken als Kunden spezialisiert hat. Diese räumt auf ihrer Homepage ein „dass es nach ihren Kenntnissen zu keinem kriminellen Datenmißbrauch gekommen ist und es sich insgesamt um eine begrenzte Anzahl von Zugriffen handelte.“
Gefahrt gebannt
Die Sicherheitslücke wurde auf den betroffenen Servern mittlerweile geschlossen, Nutzer können also wieder beruhigt einkaufen. Ein fader Beigeschmack bleibt dennoch: Laut tagesschau.de berichtete Awinta seinen Kunden bereits am Donnerstag letzter Woche, dass die Gefahr gebannt sei, was sich als falsch herausstellte. Das entsprechende Update wurde dann in dieser Woche bereitgestellt.
