Kunden von FeWo-Direkt konnten fremde Rechnungen abrufen
Wegen einer Sicherheitslücke konnten Kunden der Online-Ferienwohnungsvermittlung FeWo-Direkt mit wenig Aufwand die Rechnungen anderer Nutzerinnen und Nutzer sehen. Dazu mussten sie nur leicht die Internetadresse anpassen, unter der ihre eigene Rechnung abrufbar war.
Aus den Rechnungen war ersichtlich, wer welche Ferienwohnung gebucht hat. Zudem enthielten die Dokumente laut der Nachrichtenseite Golem.de Anschrift, Telefonnummer und E-Mail-Adresse der jeweiligen Kundin oder des Kunden sowie die zu zahlende Vermittlungsgebühr. Diese beträgt 6 bis 12 Prozent des Buchungsbetrags für die Gäste, sodass auch Rückschlüsse auf den Mietpreis möglich waren.
Einmal durchzählen
Wer eine Unterkunft bei FeWo-Direkt buchte, erhielt einen Link, der zur eigenen Rechnung führte. Die Linkadresse setzt sich unter anderem aus dem Datum und einem Dateinamen mit Nummer zusammen. Zählte man diese Nummer hoch oder runter und gab die geänderte Adresse in den Browser ein, konnte man ohne weitere Prüfung auf fremde Rechnungen zugreifen. Zuvor musste man selbst eine Buchung durchführen.
Es konnten sowohl Rechnungen von anderen Gästen als auch von Ferienwohnungsvermietern eingesehen werden – auch diese zahlen eine Gebühr an das Portal.
Lücke geschlossen
FeWo-Direkt gehört zu der international tätigen US-Firma HomeAway, die über 40 Webseiten mit ähnlicher Funktion betreibt. Unklar ist, ob weitere Seiten der Firma von der Sicherheitslücke betroffen waren.
Die Sicherheitslücke haben die Betreiber mittlerweile geschlossen und es ist kein Zugriff mehr auf fremde Belege möglich. Eine Unternehmenssprecherin teilte Golem.de mit: “Unsere Systeme wurden nicht verletzt und wir haben sofort Änderungen vorgenommen, die einen unbefugten Zugriff auf Rechnungen verhindern.”
Ob Dritte zuvor bereits Daten abgegriffen hatten, ist unklar. Ebenso ist nicht bekannt, ob FeWo-Direkt Betroffene informieren will. Es wird ohnehin schwer festzustellen sein, wessen Rechnungen unbefugt abgerufen wurden.
Kein Einzelfall
Die Art von Schwachstelle, wie sie bei FeWo-Direkt aufgetaucht ist, wird als IDOR (Insecure Direct Object Reference) bezeichnet und kann nur deswegen von Angreifern ausgenutzt werden, weil die Programmierer keine weitere Zugangskontrolle integriert hatten.
Wegen einer ähnlich schlampig programmierten Webseite waren Mitte März rund 136.000 Corona-Testergebnisse von 80.000 Betroffenen frei im Netz zugänglich. Der Testcenter-Betreiber 21dx hatte die Ergebnisse inklusive Namen, Adresse, Geburtstag und Ausweisnummer ungeschützt ins Netz gestellt. Wer die Webadresse des eigenen Testergebnisses leicht veränderte, konnte auf die Daten zugreifen.
Auch bei einem Gewinnspiel der Funke Mediengruppe konnten kürzlich Teilnehmerinnen und Teilnehmer die Daten anderer Nutzer einsehen: Die in die Gewinnspielseite eingebettete Software des Dienstleisters Sovendus GmbH wies jedem Teilnehmer eine Webadresse zu, auf der sie oder er Name und Anschrift hinterlassen konnte, um eine Prämie zu erhalten. Zählte man die Zahl in der Internetadresse hoch oder runter, wurden die Informationen auch Fremden angezeigt. (hcz)