DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Outfittery hat eine Sicherheitslücke geschlossen, die potenziell rund 500'000 Kunden betraf.

Wir haben Outfittery über eine Sicherheitslücke informiert – so reagiert der Online-Shop

Outfittery verschickt Werbemails mit Links, die den Kunden ohne Passworteingabe im Kundenprofil anmelden. Wer die E-Mail weiterleitet, gibt dem Empfänger unbewusst Zugriff auf seine persönlichen Daten. 



Stell dir vor, du schickst eine Werbemail eines Online-Shops an eine Freundin oder einen Kollegen weiter, und der Empfänger gelangt damit direkt in dein Kundenkonto – ohne ein Passwort eingeben zu müssen. Genau dies war bis Ende letzter Woche beim Online-Modehändler Outfittery der Fall. Was ziemlich dramatisch klingt, ist am Ende doch kein Datenschutz-GAU. Denn Outfittery hat, nachdem wir die Sicherheitslücke gemeldet haben, vorbildlich reagiert. Aber von vorn.

Vor wenigen Tagen erreichte mich eine E-Mail eines besorgten Outfittery-Kunden. Auf Outfittery.ch können sich Männer nach einem kurzen Style-Check persönlich zusammengestellte Kleiderpakete nach Hause schicken lassen. watson-Leser Marc Grendelmeier ist einer von über 500'000 Männern, die den Service des Online-Modehändlers nutzen.

Am 5. August erhielt er wie zahlreiche andere Outfittery-Kunden eine Werbemail. Ein Link in der Mail bringt den Kunden direkt zu seinen neuen, persönlichen Kleidervorschlägen auf Outfittery.ch. Über den E-Mail-Link wird man also automatisch auf der Webseite angemeldet. Nutzt man den Link nur auf seinem eigenen PC oder Handy, ist das kein Problem. Grendelmeier aber wurde misstrauisch, also probierte er den Link auch auf dem PC eines Arbeitskollegen aus: «Der Kollege hatte ebenfalls Zugriff auf all meine Daten», sagt der watson-Leser.

Bild

Werbemail von Outfittery: Der potenziell gefährliche Link versteckt sich hinter dem «Gleich Ansehen»-Button in dieser E-Mail an die Outfittery-Kunden. 

Grendelmeier hat mir die E-Mail von Outfittery weitergemailt und voilà, mit einem Klick war ich in seinem Nutzerkonto drin.

«Das Gefährliche daran ist, dass der Kunde nicht erkennen kann bzw. sich nicht bewusst ist, dass er anderen mit dem Weiterleiten der E-Mail Zugriff auf sein Kundenkonto gibt», sagt der Schweizer IT-Sicherheitsexperte Stefan Friedli, der die E-Mail bzw. den Link darin für uns analysiert hat. Als Nutzer geht man vermutlich davon aus, dass das automatische Login per Link nur im eigenen Browser funktioniert, da man zuvor schon auf der Webseite angemeldet war.

1 / 6
Outfittery
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Aber warum sollte jemand die Werbemail weiterleiten? In der E-Mail offeriert Outfittery einen Gutscheincode im Wert von 70 Franken. Gut möglich also, dass man den Gutschein einem Kollegen weitersenden oder Outfittery ganz einfach weiterempfehlen möchte.

Ein zweiter Test mit einem Arbeitskollegen von mir, der ebenfalls Outfittery-Kunde ist, bestätigt die Sicherheitslücke. Um einen Outfittery-Kunden zu «hacken», muss man die Person lediglich unter einem Vorwand dazu bringen, die vermeintlich völlig harmlose Werbemail weiterzuleiten. 

Am 7. August melde ich die Sicherheitslücke bei Outfittery. Dort nimmt man das Problem ernst. Nur zwei Tage später liefert das Berliner Unternehmen nicht nur eine ausführliche Antwort, sondern auch eine Lösung für das Sicherheitsproblem.

Das sagt Outfittery:

«Das Thema Datenschutz ist uns sehr wichtig. Der Link in der personalisierten E-Mail beinhaltet einen sogenannten ‹User Access Token›, über den der Kunde direkten Zugriff auf seinen persönlichen Showroom in seinem Kundenprofil erhält, egal, welches Endgerät er gerade nutzt. Dem Kunden ohne erneuten Log-In den Zugang zu der verlinkten Seite so einfach wie möglich zu machen, ist durchaus eine übliche Vorgehensweise im E-Commerce.

Dass dieser Link bei Weiterleitung der E-Mail zu Verwirrung und Einsicht Dritter in das Kundenprofil führen kann, ist nicht in unserem Sinne. Nach Rücksprache mit unserer Datenschutzbeauftragten liegt es grundsätzlich aber nicht in unserem Verantwortungsbereich, wenn eine solche E-Mail durch den jeweiligen Kunden an Dritte weitergegeben wird. Die E-Mail ist ausschliesslich für den Empfänger bestimmt.

Es ist uns bisher kein Fall bekannt, wo ein Kunde aufgrund dieses Sachverhalts zu Schaden gekommen ist. Wir haben aber direkt gehandelt und haben heute bereits eine Lösung implementiert, die im Falle einer Weiterleitung dieser E-Mail an Dritte einen Zugriff auf das Konto des Kunden verhindert. Diese Massnahme greift auch rückwirkend für bereits verschickte E-Mails.»

Zentral an der Aussage ist: Outfittery hat die Schwachstelle innerhalb von nur zwei Arbeitstagen behoben. Das ist vorbildlich und zeigt, dass der Online-Modehändler den Datenschutz ernst nimmt. Die Erfahrung zeigt, dass viele andere Firmen gemeldete Sicherheitslücken ignorieren und erst handeln, wenn der Fall publik wird. Dann aber kann die Schwachstelle theoretisch von jedem ausgenutzt werden, was weder im Sinn der Firma noch der Kunden sein kann. 

«Dass der Kunde mit dem Link sofort eingeloggt ist, fällt in die Kategorie gut gemeint, aber nicht zu Ende gedacht.»

Stefan Friedli, IT-Sicherheitsexperte bei Scip AG

Auch wenn Outfittery die Schwachstelle behoben hat, sollte dieses Beispiel eine Warnung sein: Wie die Firma selbst schreibt, ist diese bequeme, aber nicht besonders sichere Login-Methode per Link «eine übliche Vorgehensweise» von Online-Shops. Kunden sollten sich also bewusst sein, dass andere Online-Shops womöglich genau gleich unvorsichtig handeln, wie dies Outfittery getan hat.

Das bisherige Vorgehen von Outfittery wäre für IT-Sicherheitsexperte Friedli nur akzeptabel gewesen, wenn Dritte mit dem Link nur die persönlichen Kleidervorschläge hätten einsehen können. Problematisch wird es, wenn Fremde Zugriff auf persönliche Nutzerdaten erhalten oder gar bestellen können.

Bleibt zu sagen: Es ist verständlich, dass Online-Shops den Kunden das Einkaufen möglichst einfach machen wollen. Persönliche Login-Links sind aber nur bei wenig heiklen Daten eine elegante Passwort-Alternative oder -Ergänzung. Nutzen Firmen solche Links, müssen sie ihre Kunden explizit darauf aufmerksam machen, dass die persönliche E-Mail bzw. der Link auf keinen Fall weitergeleitet werden darf.

Kennst du andere Webseiten oder Online-Shops mit einer Sicherheitslücke? Hinweise bitte an digital@watson.ch. Merci!

Die Schweizer lieben Online-Shopping während der Arbeitszeit

Video: srf

Geschäfte, die uns mit ihrem Humor um den Finger wickeln

1 / 36
Geschäfte, die uns mit ihrem Humor um den Finger wickeln
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer
DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel