wechselnd bewölkt
DE | FR
Digital
Online-Sicherheit

watson meldet Sicherheitslücke bei Outfittery – so reagiert der Mode-Shop

Outfittery hat eine Sicherheitslücke geschlossen, die potenziell rund 500'000 Kunden betraf.
Outfittery hat eine Sicherheitslücke geschlossen, die potenziell rund 500'000 Kunden betraf.

Wir haben Outfittery über eine Sicherheitslücke informiert – so reagiert der Online-Shop

Outfittery verschickt Werbemails mit Links, die den Kunden ohne Passworteingabe im Kundenprofil anmelden. Wer die E-Mail weiterleitet, gibt dem Empfänger unbewusst Zugriff auf seine persönlichen Daten. 
13.08.2018, 11:3014.08.2018, 06:40
Mehr «Digital»

Stell dir vor, du schickst eine Werbemail eines Online-Shops an eine Freundin oder einen Kollegen weiter, und der Empfänger gelangt damit direkt in dein Kundenkonto – ohne ein Passwort eingeben zu müssen. Genau dies war bis Ende letzter Woche beim Online-Modehändler Outfittery der Fall. Was ziemlich dramatisch klingt, ist am Ende doch kein Datenschutz-GAU. Denn Outfittery hat, nachdem wir die Sicherheitslücke gemeldet haben, vorbildlich reagiert. Aber von vorn.

Vor wenigen Tagen erreichte mich eine E-Mail eines besorgten Outfittery-Kunden. Auf Outfittery.ch können sich Männer nach einem kurzen Style-Check persönlich zusammengestellte Kleiderpakete nach Hause schicken lassen. watson-Leser Marc Grendelmeier ist einer von über 500'000 Männern, die den Service des Online-Modehändlers nutzen.

Am 5. August erhielt er wie zahlreiche andere Outfittery-Kunden eine Werbemail. Ein Link in der Mail bringt den Kunden direkt zu seinen neuen, persönlichen Kleidervorschlägen auf Outfittery.ch. Über den E-Mail-Link wird man also automatisch auf der Webseite angemeldet. Nutzt man den Link nur auf seinem eigenen PC oder Handy, ist das kein Problem. Grendelmeier aber wurde misstrauisch, also probierte er den Link auch auf dem PC eines Arbeitskollegen aus: «Der Kollege hatte ebenfalls Zugriff auf all meine Daten», sagt der watson-Leser.

Werbemail von Outfittery: Der potenziell gefährliche Link versteckt sich hinter dem «Gleich Ansehen»-Button in dieser E-Mail an die Outfittery-Kunden. 
Werbemail von Outfittery: Der potenziell gefährliche Link versteckt sich hinter dem «Gleich Ansehen»-Button in dieser E-Mail an die Outfittery-Kunden. 
Grendelmeier hat mir die E-Mail von Outfittery weitergemailt und voilà, mit einem Klick war ich in seinem Nutzerkonto drin.

«Das Gefährliche daran ist, dass der Kunde nicht erkennen kann bzw. sich nicht bewusst ist, dass er anderen mit dem Weiterleiten der E-Mail Zugriff auf sein Kundenkonto gibt», sagt der Schweizer IT-Sicherheitsexperte Stefan Friedli, der die E-Mail bzw. den Link darin für uns analysiert hat. Als Nutzer geht man vermutlich davon aus, dass das automatische Login per Link nur im eigenen Browser funktioniert, da man zuvor schon auf der Webseite angemeldet war.

1 / 6
Outfittery
Wird die Mail weitergeleitet, gelangen Dritte ins Kundenkonto: Name, Kundennummer, E-Mail, Telefon, Geburtsdatum und mehr sind so einsehbar.
Auf Facebook teilenAuf X teilen

Aber warum sollte jemand die Werbemail weiterleiten? In der E-Mail offeriert Outfittery einen Gutscheincode im Wert von 70 Franken. Gut möglich also, dass man den Gutschein einem Kollegen weitersenden oder Outfittery ganz einfach weiterempfehlen möchte.

Ein zweiter Test mit einem Arbeitskollegen von mir, der ebenfalls Outfittery-Kunde ist, bestätigt die Sicherheitslücke. Um einen Outfittery-Kunden zu «hacken», muss man die Person lediglich unter einem Vorwand dazu bringen, die vermeintlich völlig harmlose Werbemail weiterzuleiten. 

Am 7. August melde ich die Sicherheitslücke bei Outfittery. Dort nimmt man das Problem ernst. Nur zwei Tage später liefert das Berliner Unternehmen nicht nur eine ausführliche Antwort, sondern auch eine Lösung für das Sicherheitsproblem.

Das sagt Outfittery:

«Das Thema Datenschutz ist uns sehr wichtig. Der Link in der personalisierten E-Mail beinhaltet einen sogenannten ‹User Access Token›, über den der Kunde direkten Zugriff auf seinen persönlichen Showroom in seinem Kundenprofil erhält, egal, welches Endgerät er gerade nutzt. Dem Kunden ohne erneuten Log-In den Zugang zu der verlinkten Seite so einfach wie möglich zu machen, ist durchaus eine übliche Vorgehensweise im E-Commerce.

Dass dieser Link bei Weiterleitung der E-Mail zu Verwirrung und Einsicht Dritter in das Kundenprofil führen kann, ist nicht in unserem Sinne. Nach Rücksprache mit unserer Datenschutzbeauftragten liegt es grundsätzlich aber nicht in unserem Verantwortungsbereich, wenn eine solche E-Mail durch den jeweiligen Kunden an Dritte weitergegeben wird. Die E-Mail ist ausschliesslich für den Empfänger bestimmt.

Es ist uns bisher kein Fall bekannt, wo ein Kunde aufgrund dieses Sachverhalts zu Schaden gekommen ist. Wir haben aber direkt gehandelt und haben heute bereits eine Lösung implementiert, die im Falle einer Weiterleitung dieser E-Mail an Dritte einen Zugriff auf das Konto des Kunden verhindert. Diese Massnahme greift auch rückwirkend für bereits verschickte E-Mails.»

Zentral an der Aussage ist: Outfittery hat die Schwachstelle innerhalb von nur zwei Arbeitstagen behoben. Das ist vorbildlich und zeigt, dass der Online-Modehändler den Datenschutz ernst nimmt. Die Erfahrung zeigt, dass viele andere Firmen gemeldete Sicherheitslücken ignorieren und erst handeln, wenn der Fall publik wird. Dann aber kann die Schwachstelle theoretisch von jedem ausgenutzt werden, was weder im Sinn der Firma noch der Kunden sein kann. 

«Dass der Kunde mit dem Link sofort eingeloggt ist, fällt in die Kategorie gut gemeint, aber nicht zu Ende gedacht.»
Stefan Friedli, IT-Sicherheitsexperte bei Scip AG

Auch wenn Outfittery die Schwachstelle behoben hat, sollte dieses Beispiel eine Warnung sein: Wie die Firma selbst schreibt, ist diese bequeme, aber nicht besonders sichere Login-Methode per Link «eine übliche Vorgehensweise» von Online-Shops. Kunden sollten sich also bewusst sein, dass andere Online-Shops womöglich genau gleich unvorsichtig handeln, wie dies Outfittery getan hat.

Das bisherige Vorgehen von Outfittery wäre für IT-Sicherheitsexperte Friedli nur akzeptabel gewesen, wenn Dritte mit dem Link nur die persönlichen Kleidervorschläge hätten einsehen können. Problematisch wird es, wenn Fremde Zugriff auf persönliche Nutzerdaten erhalten oder gar bestellen können.

Bleibt zu sagen: Es ist verständlich, dass Online-Shops den Kunden das Einkaufen möglichst einfach machen wollen. Persönliche Login-Links sind aber nur bei wenig heiklen Daten eine elegante Passwort-Alternative oder -Ergänzung. Nutzen Firmen solche Links, müssen sie ihre Kunden explizit darauf aufmerksam machen, dass die persönliche E-Mail bzw. der Link auf keinen Fall weitergeleitet werden darf.

Kennst du andere Webseiten oder Online-Shops mit einer Sicherheitslücke? Hinweise bitte an digital@watson.ch. Merci!

Die Schweizer lieben Online-Shopping während der Arbeitszeit

Video: srf

Geschäfte, die uns mit ihrem Humor um den Finger wickeln

1 / 36
Geschäfte, die uns mit ihrem Humor um den Finger wickeln
«In Wein ist Weisheit, in Bier ist Stärke, in Wasser sind Bakterien. Du entscheidest.»

Bild: reddit
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
56 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
so wie so
13.08.2018 11:59registriert Juli 2015
Ok, es gibt also doch noch Leute, die Newsletter und Werbemails lesen. Hätte ich nicht gedacht.
46116
Melden
Zum Kommentar
avatar
N. Y. P. D.
13.08.2018 11:59registriert Oktober 2015
Schön, wie Outfittery schnell reagiert hat.

Was mich überrascht hat, dass Outfittery bereits 500'000 Kunden hat.
Outfittery bezahlt Löhne von unter 3000.- und obwohl das fast alle wissen, sind trotzdem eine halbe Million Kunden aktiv am bestellen.
Im Prinzip ist es uns doch schnuppe, wie sich Firmen verhalten. Hauptsache günstig..
31029
Melden
Zum Kommentar
avatar
rolf.iller
13.08.2018 12:00registriert Juli 2014
Heeee, moment mal, da ist gar nix gelöst. Das Problem ist nicht nur das Mail weiterleiten, sondern auch, dass das Originalmail unverschlüsselt ist. Das heisst, die Mail kann von jedem Verbindungsknoten mitgelesen, gespeichert und der Link missbraucht werden. Bringt wohl nix wenn man seine Website mit HTTPS verschlüsselt um Zugriff auf sensitive Daten zu verhindern und dann gleichzeitig das Security-Mail-Scheunentor aufmacht. #fail
2589
Melden
Zum Kommentar
56
Mozilla-Studie warnt: Gegen Deepfakes gibt es zu wenig (wirksamen) Schutz
Eine einfache Lösung sehen die Forschenden gemäss einer aktuellen Studie nicht. Sie plädieren aber für maschinenlesbare Wasserzeichen.

Eine Experten-Studie warnt vor erheblichen Defiziten bei heutigen Methoden zur Kennzeichnung von Bildern, Videos und Audio-Aufnahmen, die mit generativer künstlicher Intelligenz («GenAI») erzeugt wurden.

Zur Story