Datenklau leicht gemacht: Unsichere Objektreferenzen

Diese Woche wurde bekannt, dass tausende Kundendatensätze im Geschäftskundenbereich der Deutschen Bahn abgegriffen werden konnten. Grund sind unsichere direkte Objektreferenzen.

Was ist passiert?

An Kunden wurde eine URL mit einer Firmen-ID gesendet. Auf der Seite waren Kundendaten zu sehen. Diese Firmen-IDs konnte man durchiterieren und erhielt die Daten anderer Kunden zu sehen. Die Journalisten von CORRECTIV.RUHR schieben ein kleines Script, welches diesen Prozess automatisiert. So war es ihnen möglich in 45 Minuten etwa 10.000 Datensätze abzugreifen.

Angreifer erhielten also ohne Autentifizierung direkten Zugang zu fremden Daten. Dies war in diesem Fall auch mehr oder weniger erwünscht, denn der Mail-Empfänger sollte mit einem Klick in der Lage sein seine Daten einzusehen.

Weiterlesen