BjOG – Bjou’s Blog, that is!

Die geflügelten Sprüche von Saturn, die man zu genüge aus Funk und Fernsehen kennt, werden mit dem aktuellen Datenleck im MP3-Shop ad absurdum geführt. So war es durch einfaches Surfen auf den Seiten des MP3-Shops möglich, auf die Daten von Dritten zuzugreifen – ohne irgendwelche Eingriffe in URL oder ähnlichem. Das ist ein klares Zeichen für einen Bug im Session Management der Applikation, einem Aspekt, der bei jedem ordentlich ausgeführten Web Application Penetrationstest eigentlich überprüft werden müsste. Durch den Fehler in der Web Applikation kam es nun also zu ungewolltem Session Hijacking durch Dritte.

• Geiz ist geil?
• Alles nur eine Frage der Technik?

Zumindest wenn es um die Sicherheit der Kundendaten geht, ist Geiz zumindest nicht so geil. Lustig, dass Saturn trotzdem verspricht: “Ihre bei uns gespeicherten Daten schützen wir und unsere Partnerunternehmen durch technische und organisatorische Maßnahmen, um einem Missbrauch durch Dritte wirkungsvoll vorzubeugen“.