Affiliate Welt

An diesem Wochenende wurde beim Online-Shop von Quelle eine massive Sicherheitslücke entdeckt. Wenn man eine Bestellung aufgab und dabei am Ende den Punkt, dass man sein Passwort vergessen wählte, so konnte man auch ganz einfach eine beliebige Adresse eingeben. Das ganze war erschreckend simpel, gab man an dieser Stelle z.B. die Daten einer Quelle-Agentur ein, erhielt man direkten Zugang zum internen System für die Agenturen.

Wie Quelle inzwischen durch eine Pressemitteilung bekannt gab, soll die Verknüpfung zwischen der Passwort-Abfrage und dem internen System inzwischen abgestellt sein, der Fehler sei durch ein Software-Update zustande gekommen und nur eine “kurzzeitige Lücke” gewesen. Laut der Wirtschaftswoche ließ sich die Lücke aber über mehrere Wochen nutzen.

Die KarstadtQuelle AG eigenen Angaben zufolge bereits am 7. August 2006 Strafanzeige wegen eines Schadens von 20.000,- Euro durch fingierte Bestellungen gestellt. Ebenso hoch soll der Wert anderer Bestellungen mit dem Passwort Trick gewesen sein, die man nicht mehr ausgeliefert hatte.