Sicherheitslücke: Merkur schränkt App-Funktionen ein
Wie berichtet, gelang es Studenten der FH Salzburg am Dienstag, mittels Kundenkarten-Codes von Nocard.info Zugriff auf Merkur-Kundenprofile zu erlangen. Das war möglich durch eine laxe Sicherheitsmaßnahme beim Feature zur Neuregistrierung von einem Online- oder App-Konto – der EAN Code sowie die Eingabe der Postleitzahl genügten zu einer Registrierung. Doch gerade die Postleitzahl eignet sich nicht unbedingt als Sicherheitsabfrage, denn sie ist leicht zu erraten bzw. ein Script, das alle Variationen durchprobiert, wäre rasch geschrieben.
Keine Neuregistrierung möglich
„Dieses Feature wurde mittlerweile deaktiviert“, erklärt Ines Schurin gegenüber der futurezone. „Friends of Merkur“-Kunden, die sich jetzt für die Benutzung der offiziellen Merkur-App oder Online-Plattform registrieren wollen, müssen daher vorerst warten, bis es zu einer „neuen Lösung“ kommt. „Wir arbeiten daran und werden diese unseren Kunden demnächst zur Verfügung stellen“, so Schurin.
Bestehende „Friends of Merkur“-Kunden, die die Merkur-App bereits nutzen, können sich wie gewohnt einloggen und die App auch an den Merkur-Kassen benutzen. Die Kunden, die von der Sicherheitslücke betroffen sind und auf deren Konten zugegriffen wurde, werden von Rewe kontaktiert. „Wir halten uns an das Datenschutzgesetz. User, bei denen der Verdacht eines Zugriffs besteht, werden informiert“, so Schurin. Das seien jedoch „Einzelfälle“.
Code-Problem besteht weiterhin
Durch die Existenz von Nocard.Info müssen alle „Friends of Merkur“-Kunden nach wie vor damit rechnen, dass ihnen Vorteile – wie Rabattaktionen oder Bonuspunkte – von anonymen Nocard.Info-Nutzern weggenommen werden. Dieses Sicherheitsproblem bleibt nach wie vor bestehen. Es könnte außerdem alle drei Millionen „Friends“ betreffen, denn die EAN-Nummern bei Nocard.Info werden zufällig generiert. „Das Schlimmste, was hier passieren kann, ist, dass den Kunden jemand ihre Vorteile wegnimmt. Sollten Kunden merken, dass sie davon betroffen sind, werden wir ihnen selbstverständlich entgegenkommen“, so Schurin. Zudem werden weiterhin „alle Möglichkeit geprüft“, um auch hier eine rasche Lösung zu finden.