Rubriken

Aktuelles - November 2008

FernUni-Absolvent entdeckt Sicherheitslücke

Tobias Eggendorfer bei Sendungsverfolgung eines Logistikkonzerns fündig

Dr. Tobias Eggendorfer, Absolvent der FernUniversität in Hagen und Lehrbeauftragter ihrer Fakultät für Mathematik und Informatik, hat nach einer Meldung der Fachzeitschrift Linux-Magazin (Ausgabe 12/2008) eine Sicherheitslücke bei einer Funktion zur Sendungsverfolgung eines Logistikkonzerns entdeckt.

Tobias Eggendorfer, freier Mitarbeiter des Magazins, entdeckte die Sicherheitslücke, als er den Link zur Sendungsverfolgung in der E-Mail eines Onlineshops anklickte: Sein Internetbrowser zeigte nicht nur die Lieferadresse seines eigenen Pakets, sondern auch noch die Adressen zweier weiterer Kunden des Logistikers an. Er schrieb ein Programm („Shellskript“) und extrahierte mit zufälligen Paketnummern Hunderte weitere Adressen. Alle gehörten Kunden eines Versenders. Mit einem weiteren Linux-Skript konnte Eggendorfer sogar die Zugangsdaten mehrerer hundert weiterer Versender identifizieren und deren Kunden ermitteln, denn auch diese Firmen benutzen das Passwort, das vom Logistiker – so vermutet das Linux Magazin – wohl standardmäßig vergeben worden sei.

Laut Linux-Magazin sprach der Logistiker zunächst von einem „Versehen“ des Shopbetreibers, deaktivierte dann jedoch die entsprechende Funktion.

Gerd Dapprich | 12.11.2008
FernUni-Logo FernUniversität in Hagen, 58084 Hagen, Telefon: +49 2331 987-01, E-Mail: fernuni@fernuni-hagen.de