Stell dir vor, du schickst eine Werbemail eines Online-Shops an eine Freundin oder einen Kollegen weiter, und der Empfänger gelangt damit direkt in dein Kundenkonto – ohne ein Passwort eingeben zu müssen. Genau dies war bis Ende letzter Woche beim Online-Modehändler Outfittery der Fall. Was ziemlich dramatisch klingt, ist am Ende doch kein Datenschutz-GAU. Denn Outfittery hat, nachdem wir die Sicherheitslücke gemeldet haben, vorbildlich reagiert. Aber von vorn.
Vor wenigen Tagen erreichte mich eine E-Mail eines besorgten Outfittery-Kunden. Auf Outfittery.ch können sich Männer nach einem kurzen Style-Check persönlich zusammengestellte Kleiderpakete nach Hause schicken lassen. watson-Leser Marc Grendelmeier ist einer von über 500'000 Männern, die den Service des Online-Modehändlers nutzen.
Am 5. August erhielt er wie zahlreiche andere Outfittery-Kunden eine Werbemail. Ein Link in der Mail bringt den Kunden direkt zu seinen neuen, persönlichen Kleidervorschlägen auf Outfittery.ch. Über den E-Mail-Link wird man also automatisch auf der Webseite angemeldet. Nutzt man den Link nur auf seinem eigenen PC oder Handy, ist das kein Problem. Grendelmeier aber wurde misstrauisch, also probierte er den Link auch auf dem PC eines Arbeitskollegen aus: «Der Kollege hatte ebenfalls Zugriff auf all meine Daten», sagt der watson-Leser.
«Das Gefährliche daran ist, dass der Kunde nicht erkennen kann bzw. sich nicht bewusst ist, dass er anderen mit dem Weiterleiten der E-Mail Zugriff auf sein Kundenkonto gibt», sagt der Schweizer IT-Sicherheitsexperte Stefan Friedli, der die E-Mail bzw. den Link darin für uns analysiert hat. Als Nutzer geht man vermutlich davon aus, dass das automatische Login per Link nur im eigenen Browser funktioniert, da man zuvor schon auf der Webseite angemeldet war.
Aber warum sollte jemand die Werbemail weiterleiten? In der E-Mail offeriert Outfittery einen Gutscheincode im Wert von 70 Franken. Gut möglich also, dass man den Gutschein einem Kollegen weitersenden oder Outfittery ganz einfach weiterempfehlen möchte.
Ein zweiter Test mit einem Arbeitskollegen von mir, der ebenfalls Outfittery-Kunde ist, bestätigt die Sicherheitslücke. Um einen Outfittery-Kunden zu «hacken», muss man die Person lediglich unter einem Vorwand dazu bringen, die vermeintlich völlig harmlose Werbemail weiterzuleiten.
Am 7. August melde ich die Sicherheitslücke bei Outfittery. Dort nimmt man das Problem ernst. Nur zwei Tage später liefert das Berliner Unternehmen nicht nur eine ausführliche Antwort, sondern auch eine Lösung für das Sicherheitsproblem.
Zentral an der Aussage ist: Outfittery hat die Schwachstelle innerhalb von nur zwei Arbeitstagen behoben. Das ist vorbildlich und zeigt, dass der Online-Modehändler den Datenschutz ernst nimmt. Die Erfahrung zeigt, dass viele andere Firmen gemeldete Sicherheitslücken ignorieren und erst handeln, wenn der Fall publik wird. Dann aber kann die Schwachstelle theoretisch von jedem ausgenutzt werden, was weder im Sinn der Firma noch der Kunden sein kann.
Auch wenn Outfittery die Schwachstelle behoben hat, sollte dieses Beispiel eine Warnung sein: Wie die Firma selbst schreibt, ist diese bequeme, aber nicht besonders sichere Login-Methode per Link «eine übliche Vorgehensweise» von Online-Shops. Kunden sollten sich also bewusst sein, dass andere Online-Shops womöglich genau gleich unvorsichtig handeln, wie dies Outfittery getan hat.
Das bisherige Vorgehen von Outfittery wäre für IT-Sicherheitsexperte Friedli nur akzeptabel gewesen, wenn Dritte mit dem Link nur die persönlichen Kleidervorschläge hätten einsehen können. Problematisch wird es, wenn Fremde Zugriff auf persönliche Nutzerdaten erhalten oder gar bestellen können.
Bleibt zu sagen: Es ist verständlich, dass Online-Shops den Kunden das Einkaufen möglichst einfach machen wollen. Persönliche Login-Links sind aber nur bei wenig heiklen Daten eine elegante Passwort-Alternative oder -Ergänzung. Nutzen Firmen solche Links, müssen sie ihre Kunden explizit darauf aufmerksam machen, dass die persönliche E-Mail bzw. der Link auf keinen Fall weitergeleitet werden darf.
Kennst du andere Webseiten oder Online-Shops mit einer Sicherheitslücke? Hinweise bitte an digital@watson.ch. Merci!
Was mich überrascht hat, dass Outfittery bereits 500'000 Kunden hat.
Outfittery bezahlt Löhne von unter 3000.- und obwohl das fast alle wissen, sind trotzdem eine halbe Million Kunden aktiv am bestellen.
Im Prinzip ist es uns doch schnuppe, wie sich Firmen verhalten. Hauptsache günstig..