Diese Website speichert Cookies auf Ihrem Computer. Diese Cookies werden verwendet, um Ihre Website zu optimieren und Ihnen einen persönlich auf Sie zugeschnittenen Service bereitstellen zu können, sowohl auf dieser Website als auch auf anderen Medienkanälen. Mehr erfahren über die von uns eingesetzten Cookies finden Sie in unserer Datenschutzrichtlinie
Anzeige

Sicherheitslücke bei Online-Apotheken entdeckt

Bamberg. Informatik-Wissenschaftler der Universität Bamberg haben eine Sicherheitslücke in den Onlineshops zahlreicher Versandapotheken aufgedeckt.

Sicherheitslücke bei Online-Apotheken entdeckt

Die Sicherheitslücke machte betroffene Online-Apotheken für das so genannte „Session-Hijacking“ anfällig. Dabei verschafft sich ein Angreifer Zugriff auf die Browser-Sitzung eines anderen Nutzers, der gerade in einem Onlineshop aktiv ist. Foto: Franziska Kraufmann/Illustration

Über die inzwischen geschlossene Schwachstelle bei einem Anbieter von Software für Apotheken hätten Unbefugte die letzten Einkäufe sowie andere persönliche Daten von Kunden ausspähen können. Über die Lücke hatten NDR und WDR zuerst berichtet.

Betroffen waren neben großen Anbietern wie „Apotal“ und „Sanicare“ mit mehreren Millionen Kunden etwa 170 weitere Versandapotheken. Ihre Onlineshops werden demnach alle von der Firma awinta GmbH in Bietigheim-Bissingen betrieben. „Nachdem wir uns sicher waren, dass die Lücke ausgenutzt werden kann, haben wir awinta unverzüglich darauf hingewiesen“, sagte Prof. Dominik Herrmann, Inhaber des Lehrstuhls für Privatsphäre und Sicherheit in Informationssystemen der Universität Bamberg.

Die Wissenschaftler betreiben mit anderen Hochschulen einen Sicherheitsscanner im Internet, der Webseiten überprüft. So haben sie festgestellt, dass offenbar Nutzerdaten von mehr als 170 Apotheken nicht ausreichend geschützt gewesen seien. Der Software-Anbieter habe daraufhin schnell reagiert und die Sicherheitslücke auf allen Servern behoben.

Die Fehl-Konfiguration der Shop-Software machte die Online-Apotheken für das so genannte „Session-Hijacking“ anfällig. Dabei verschafft sich ein Angreifer Zugriff auf die Browser-Sitzung eines anderen Nutzers, der gerade in einem Onlineshop aktiv ist. Durch den Angriff kann der Onlineshop den Browser des Angreifers nicht vom Browser des Opfers unterscheiden. Der Angreifer kann seinem Opfer gewissermaßen über die Schulter schauen und mitunter auch Zugriff auf alle Daten erlangen, die im Kundenkonto hinterlegt sind. Eigentlich gehört es zu den Standards von Shop-Anbietern, ihre Angebote gegen die häufig auftauchende Sicherheitslücke abzudichten.

Awinta räumte gegenüber dem NDR die Sicherheitslücke ein, betonte aber, es sei nicht zu einem kriminellen Datenmissbrauch gekommen. Mittlerweile sei die Lücke auch geschlossen. Ursache sei eine fehlerhafte Einstellung gewesen.

Anzeige
Anzeige
Das könnte Sie auch interessieren

Seoul. Die südkoreanische Kryptowährungsbörse Bithumb hat nach eigenen Angaben durch Hackerangriffe 35 Milliarden Won (27,4 Millionen Euro) an virtuellen Zahlungsmitteln verloren.mehr...

Brüssel. Prominente Kritiker sagen, das freie Internet sei bedroht. Am Mittwoch hat ein Ausschuss im EU-Parlament über das europäische Copyrights abgestimmt. Das Ergebnis war denkbar knapp - und widerspricht sogar dem deutschen Koalitionsvertrag.mehr...

Seattle. Wer zuhause gern Alexa herumkommandiert, muss darauf bald auch im Hotel nicht mehr verzichten. Amazon nimmt das Gastgewerbe mit einer neuen Plattform ins Visier. Ein erster großer Partner ist Marriott.mehr...

Montabaur. Lediglich 17 Prozent der Menschen in Deutschland sind laut einer Studie davon überzeugt, dass ihre Daten durch die neue europäische Datenschutzgrundverordnung besser geschützt sind.mehr...

Köln. Der Lebensmittelhändler hat viel Geld in den Ausbau seines E-Commerce-Angebots investiert. Doch auch Konzern-Chef Lionel Souque muss einräumen: „Kein Mensch weiß, wie sich der Online-Handel mit Lebensmitteln in den nächsten Jahren entwickelt.“mehr...