FH-Studenten knacken Merkur-Kundendatenbank
Es dauerte keine fünf Minuten, bis sich die beiden erstsemestrigen FH-Studenten des Studienzweigs Multimedia Technology in Salzburg Zugang zu Kundenprofilen von Merkur Markt-Kunden verschaffen konnten. „Wir haben den Bericht auf futurezone.at über Nocard.Info gelesen und uns in Folge ein wenig mit der offiziellen Merkur Markt-App und den Barcodes von Nocard.Info gespielt“, erklärt Student David Grübl der futurezone.
Voller Zugriff auf Daten
Die Studenten haben es auf diesem Weg binnen kürzester Zeit geschafft, Zugriff auf Kundenkarten – inklusive sämtlicher personenbezogener Daten wie Name, Adresse, Telefonnummer, Anzahl der Treuepunkte und personalisierte Rabattangebote - zu erlangen. Binnen weniger Minuten hatten sie ein Nutzer-Profil eines informierten Studienkollegen geknackt . „Wir könnten jetzt los gehen und im Merkur Markt billiger einkaufen“, so Grübl.
Stattdessen informierten die Studenten den Rewe-Konzern über die Sicherheitslücke. Die erste Reaktion war Ungläubigkeit und Erstaunen – mit dem Versprechen, sich rasch um eine Behebung des Problems zu kümmern.
Lücke geschlossen
Wenige Stunden später war es soweit: Die Sicherheitslücke wurde geschlossen. Gegenüber der futurezone ließ der Rewe-Konzern wissen: "Es ist richtig, dass uns Studenten der FH Salzburg auf eine Sicherheitslücke bei einigen wenigen über eine App selbst zu wartende Kundenkonten von Merkur aufmerksam gemacht haben. Diese Sicherheitslücke wurde sofort geschlossen", so Konzernsprecherin Ines Schurin. Der Konzern habe die beiden Studenten zudem dazu eingeladen, an einer "längerfristigen Lösung" mitzuarbeiten.
„Wir hätten uns als nächstes genauer anschauen können, wie die App mit dem Server kommuniziert und dann versuchen, alle Kundendaten abzuziehen“, erklärt Grübl. Soweit wollten die Studenten jedoch ihre Experimente nicht treiben. Grübl und sein Kollege Stephan Bönnemann installierten auf ihren Mobiltelefonen die offizielle Merkur App und scannten die Codes von Nocard.Info ein. Um Zugriff zu den Nutzerprofilen der Merkur-Markt-Kunden zu bekommen, war es lediglich erforderlich, die Postleitzahl zu erraten. „Bei 1010 Wien hatten wir binnen kürzester Zeit einen Treffer“, so Grübl.
Kein Zugriff auf gesamte Datenbank
Laut Rewe war der Zugriff auf die gesamte Kundendatenbank, die immerhin drei Millionen "Friends of Merkur"-Kunden umfasst, die ganze Zeit über ausgeschlossen. "Über die zufällig generierten EAN-Codes, die bestehende Kundennummern trafen in Kombination mit der korrekt erratenen Postleitzahl war es möglich, sich auf einzelne Kundennummern über die App zu registrieren. Darüber konnte man sich Zugang zu einzelnen selbst zu wartenden Kundenkonten verschaffen. Darin sind Kontaktdaten (Name, Postadresse) sowie Bonuspunkte enthalten, jedoch keine Einkaufsdaten. Kundendaten sind nicht gefährdet", so Rewe-Sprecherin Schurin.
Nocard.Info als Anstoß
Doch warum genau haben die Studenten dieses Experiment gewagt? Vor wenigen Tagen ging die Kundenkarten-Plattform nocard.info online, über die Kunden von Billa, Bipa und Merkur anonym, allerdings mit den Daten von Kundenkarten anderer Personen, Rabatte der jeweiligen Geschäfte in Anspruch nehmen können. Die Codes sind dabei nicht, wie vielerorts geglaubt, wirklich anonym, sondern gehören eben tatsächlich „echten“ Personen.
Merkur hatte seine Kassierer zudem dazu aufgerufen, ausschließlich die offizielle Merkur App an den Kassen zu akzeptieren – aus „Sicherheitsgründen“. Doch, wie die Lücke, die durch die Studenten aufgedeckt wurde, jetzt zeigt, ist auch die offizielle Merkur Markt-App keineswegs sicher. Das Erschreckende daran: Es hat keine fünf Minuten gedauert, dies rauszufinden.
Nocard.Info schreibt in einer Twitter-Nachricht dazu übrigens Folgendes: "Die Sicherheitslücke ist so trivial, man muss wohl davon ausgehen, dass alle Merkur-Kundendaten bereits kopiert und verkauft wurden." Laut Auskunft der Rewe Group gibt es rund drei Millionen Kundenkarten.