FH-Studenten knacken Merkur-Kundendatenbank
Von Barbara Wimmer
Zwei Studenten der FH Salzburg gelang es, mittels Kundenkarten-Codes des Online-Portals Nocard.Info binnen weniger Minuten Zugriff auf Merkur-Kundenprofile zu erlangen. Laut Auskunft der Rewe Group gibt es in Österreich insgesamt rund drei Millionen Merkur-Kundenkarten.
„Wir haben die Berichterstattung über Nocard.Info verfolgt und uns in der Folge ein wenig mit der offiziellen Merkur Markt-App und den Kundenkarten-Codes gespielt“, erklärt David Grübl, FH-Student des Studienzweigs Multimedia Technology in Salzburg.
Die Studenten haben es auf diesem Weg binnen kürzester Zeit geschafft, Zugriff auf eine Kundenkarte – inklusive sämtlicher personenbezogener Daten wie Name, Adresse, Telefonnummer, Anzahl der Treuepunkte und personalisierte Rabattangebote zu erlangen. Innerhalb weniger Minuten hatten sie auch das Profil eines informierten Kollegen geknackt. „Wir könnten jetzt losgehen und mit einem Skript Zugriff auf weitere fremde Accounts erlangen“, so Grübl.
Problem behoben
Stattdessen informierten die Studenten den Rewe-Konzern über die Sicherheitslücke. Die ersten Reaktionen waren Ungläubigkeit und Erstaunen – mit dem Versprechen, sich rasch um eine Behebung des Problems zu kümmern. Wenige Stunden später war es soweit: „Es ist richtig, dass uns Studenten der FH Salzburg auf eine Sicherheitslücke bei einigen wenigen über eine App selbst zu wartende Kundenkonten von Merkur aufmerksam gemacht haben. Diese Sicherheitslücke wurde sofort geschlossen“, so die Rewe-Sprecherin Ines Schurin zum KURIER.
Grübl und sein Kollege Stephan Bönnemann installierten auf ihren Mobiltelefonen die offizielle Merkur-App und scannten Codes des Online-Portals Nocard.Info ein. Um Zugriff zu den Profilen der Merkur Markt-Kunden zu bekommen, war es erforderlich, die Postleitzahl zu erraten. „Bei 1010 Wien hatten wir binnen kürzester Zeit einen Treffer“, sagt Grübl. Als die Studenten die Postleitzahl zu dem Profil des Studienkollegen korrekt eingegeben hatten, hatten sie vollen Zugriff auf das User-Profil. „Das ist kritisch. Wir sind zwar keine Sicherheitsexperten, aber so einfach darf das nicht gehen“, erklärt Grübl.
Kundenkarten-App
Doch warum genau haben die Studenten dieses Experiment, das dazu geführt hat, dass ein Datenleck aufgezeigt wird, gewagt? Vor wenigen Tagen ging die Kundenkarten-Plattform nocard.info online, über die Kunden von Billa, Bipa und Merkur anonym, allerdings mit den Daten von Kundenkarten anderer Personen, Rabatte der jeweiligen Geschäfte in Anspruch nehmen können. Die Codes sind dabei nicht, wie vielerorts geglaubt, wirklich anonym, sondern gehören „echten“ Personen.
Merkur hatte seine Kassierer deshalb dazu aufgerufen, ausschließlich die offizielle Merkur Markt-App an den Kassen zu akzeptieren – aus „Sicherheitsgründen“. Auch wenn das Problem jetzt bereits behoben ist, zeigten die Studenten eines deutlich auf: Sicherheit ist relativ.
Weitere Informationen dazu finden Sie auf futurezone.at