Zur mobilen Ansicht wechseln »

Sicherheitslücke FH-Studenten knacken Merkur-Kundendatenbank.

Bei der Merkur-App gibt es ein Sicherheitsproblem.
Bei der Merkur-App gibt es ein Sicherheitsproblem. - Foto: boroviczeny stephan
Studenten der FH Salzburg gelang es, mittels Kundenkarten-Codes von Nocard Zugriff auf Merkur-Kundenprofile zu erlangen. Rewe erklärte, die Lücke sei geschlossen worden.

Es dauerte keine fünf Minuten, bis sich die beiden erstsemestrigen FH-Studenten des Studienzweigs Multimedia Technology in Salzburg Zugang zu Kundenprofilen von Merkur Markt-Kunden verschaffen konnten. „Wir haben den Bericht auf futurezone.at über Nocard.Info gelesen und uns in Folge ein wenig mit der offiziellen Merkur Markt-App und den Barcodes von Nocard.Info gespielt“, erklärt Student David Grübl der futurezone.

Voller Zugriff auf Daten

Die Studenten haben es auf diesem Weg binnen kürzester Zeit geschafft, Zugriff auf Kundenkarten – inklusive sämtlicher personenbezogener Daten wie Name, Adresse, Telefonnummer, Anzahl der Treuepunkte und personalisierte Rabattangebote - zu erlangen. Binnen weniger Minuten hatten sie ein Nutzer-Profil eines informierten Studienkollegen geknackt . „Wir könnten jetzt los gehen und im Merkur Markt billiger einkaufen“, so Grübl.

Stattdessen informierten die Studenten den Rewe-Konzern über die Sicherheitslücke. Die erste Reaktion war Ungläubigkeit und Erstaunen – mit dem Versprechen, sich rasch um eine Behebung des Problems zu kümmern.

Lücke geschlossen

Wenige Stunden später war es soweit: Die Sicherheitslücke wurde geschlossen. Gegenüber der futurezone ließ der Rewe-Konzern wissen: "Es ist richtig, dass uns Studenten der FH Salzburg auf eine Sicherheitslücke bei einigen wenigen über eine App selbst zu wartende Kundenkonten von Merkur aufmerksam gemacht haben. Diese Sicherheitslücke wurde sofort geschlossen", so Konzernsprecherin Ines Schurin. Der Konzern habe die beiden Studenten zudem dazu eingeladen, an einer "längerfristigen Lösung" mitzuarbeiten.

„Wir hätten uns als nächstes genauer anschauen können, wie die App mit dem Server kommuniziert und dann versuchen, alle Kundendaten abzuziehen“, erklärt Grübl. Soweit wollten die Studenten jedoch ihre Experimente nicht treiben. Grübl und sein Kollege Stephan Bönnemann installierten auf ihren Mobiltelefonen die offizielle Merkur App und scannten die Codes von Nocard.Info ein. Um Zugriff zu den Nutzerprofilen der Merkur-Markt-Kunden zu bekommen, war es lediglich erforderlich, die Postleitzahl zu erraten. „Bei 1010 Wien hatten wir binnen kürzester Zeit einen Treffer“, so Grübl.

Merkur-Markt-Screen_Shot_2014-01-21_at_14_25_58-6.png
Foto: Screenshot David Grübl
Als die Studenten die Postleitzahl zu einem User-Profil korrekt eingegeben hatten (um dies zu testen haben sie sich bei einem Code eines Mit-Studenten bedient), hatten sie vollen Zugriff auf das Profil. „Das ist kritisch. Wir sind keine Sicherheitsexperten, unser Hauptaugenmerk beim Lehrgang liegt eigentlich beim Web-Design“, erklärt Grübl.

Kein Zugriff auf gesamte Datenbank

Laut Rewe war der Zugriff auf die gesamte Kundendatenbank, die immerhin drei Millionen "Friends of Merkur"-Kunden umfasst, die ganze Zeit über ausgeschlossen. "Über die zufällig generierten EAN-Codes, die bestehende Kundennummern trafen in Kombination mit der korrekt erratenen Postleitzahl  war es möglich, sich auf einzelne Kundennummern über die App zu registrieren. Darüber konnte man sich Zugang zu einzelnen selbst zu wartenden Kundenkonten verschaffen. Darin sind Kontaktdaten (Name, Postadresse) sowie Bonuspunkte enthalten, jedoch keine Einkaufsdaten. Kundendaten sind nicht gefährdet", so Rewe-Sprecherin Schurin.

Nocard.Info als Anstoß

Doch warum genau haben die Studenten dieses Experiment gewagt?  Vor wenigen Tagen ging die Kundenkarten-Plattform nocard.info online, über die Kunden von Billa, Bipa und Merkur anonym, allerdings mit den Daten von Kundenkarten anderer Personen, Rabatte der jeweiligen Geschäfte in Anspruch nehmen können. Die Codes sind dabei nicht, wie vielerorts geglaubt, wirklich anonym, sondern gehören eben tatsächlich „echten“ Personen.

Merkur hatte seine Kassierer zudem dazu aufgerufen, ausschließlich die offizielle Merkur App an den Kassen zu akzeptieren – aus „Sicherheitsgründen“. Doch, wie die Lücke, die durch die Studenten aufgedeckt wurde, jetzt zeigt, ist auch die offizielle Merkur Markt-App keineswegs sicher. Das Erschreckende daran: Es hat keine fünf Minuten gedauert, dies rauszufinden.

Nocard.Info schreibt in einer Twitter-Nachricht dazu übrigens Folgendes: "Die Sicherheitslücke ist so trivial, man muss wohl davon ausgehen, dass alle Merkur-Kundendaten bereits kopiert und verkauft wurden." Laut Auskunft der Rewe Group gibt es rund drei Millionen Kundenkarten.

(futurezone) Erstellt am 21.01.2014, 15:08

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Dein Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?
    Bitte Javascript aktivieren!