Wie der Chaos Computer Club (CCC) berichtet, gibt es bei den Instituten für Markt- und Meinungsforschung Emnid und Infratest eine erhebliche Sicherheitslücke. Über 41.000 Datensätze sind aufgrund eines Programmierfehlers im Internet zugänglich. Die Redakteure der Vereinszeitschrift des CCC “Die Datenschleuder” haben auf einen anonymen Hinweis hin eine offensichtlich peinliche Sicherheitslücke bei Emnid bzw. Infratest entdeckt: Auf http://www.report-global.com loggten sie sich dort dank des anonym zugesandten Accounts wie ein Umfrageteilnehmer oder Marktforscher ein.
Anschließend konnten sie aber nicht nur auf ihre “eigenen” Daten zugreifen, sondern auch auf mindestens auf 41.000 Datensätze anderer Umfrageteilnehmer. Dazu mußten sie in der Adreßzeile nur die Benutzer-ID in der Adreßzeile ändern. Kurzum: Schlampiger Umgang mit HTTP-GET.
Die Datensätze enthielten äußerst umfangreiche Informationen zu Name, Adresse, Geschlecht, Schulbildung, Kranken- und Kfz-Versicherung, Kundenkarten, Mobilfunkverträge, Wohnsituation, Haushaltsgeräte, Erwerbstätigkeit und Einkommen.
Emnid und Infratest gehören zu Taylor Nelson Sofres (TNS), weltweit agierenden Umfrageunternehmen. Die betroffene Webseite ist für TNS Infratest registriert.
Hinterlasse einen Kommentar
