„Rein theoretisch konnten wir auf der Kundendatenbank hin- und hersurfen“, erklärte am Donnerstag Steve Clement vom Chaos Computer Club Luxemburg, gegenüber tageblatt.lu.
Tango hatte am Mittwoch in einer Pressemitteilung den eigentlichen Schaden runtergespielt und von lediglich bis zu zehn Kundendaten gesprochen.
Wie kam man nun eigentlich an die Daten? Spezielle Computerkenntnisse waren anscheinend nicht erforderlich gewesen.
Der C3L erklärt: Hat man die Web-Billing Seite (Online-Bezahlsystem) angeklickt, musste man weder das Benutzer noch das Passwort-Feld ausfüllen. Ein einfacher Klick auf „Go“ reichte und man war im System.
In einem nächsten Schritt musste man lediglich in einem Feld im oberen Teil der Webseite eine Kundennummer eingeben. Da es sich um eine fortlaufende Nummer handelte, war in der Theorie jeder Kunde abrufbar.
Einfache Kundensuche
„Hat man Minus eins gedrückt, war der vorherige Kunde auf dem Schirm, hat man Minus 100 gedrückt, waren 100 vorherige Kundendaten sichtbar“, so Clemens weiter. Sogar die Daten eines C3L-Mitglieds waren einsehbar.
Der C3L bedauert, dass Tango die Panne runterspielt und die Verantwortung „kriminellen Hackern“ zuweist. Eine anonyme Person hatte dem Club die peinliche Sicherheitslücke herangetragen. Dieser hatte die brisante Informationen anschliessend überprüft und an die zuständige Nationale Datenschutzkommission (CNPD) weitergegeben.Siehe auch:
Peinliche Datenpanne bei Tango bestätigt
Tango: Einblick in fremde Kundendaten?
Nachdem die Sicherheitslücke zwei Tage offen war, wurde das Online-Bezahlsystem von Tango am Dienstag bis auf weiteres abgeschaltet.
In der Zwischenzeit habt die Luxemburger Datenschutzkommission Tango eine Rüge ausgesprochen. Das sagte Präsident Gérard Lommel tageblatt.lu
Die Kommission sei vom C3L über die Sicherheitslücke informiert worden. Während einem halben Tag habe man sich von diesem Problem überzeugen können, so Lommel. Es habe keines großen technischen Aufwands bedurft, um ins System zu gelangen. Lommel spricht von einem systemischen Fehler. Kriminelle Absichten sieht der Datenschützer hinter dem Vorgehen der Hacker jedoch nicht. Angesichts des Risikos von Datenmissbrauch hätte man jedoch größere Sicherheitsvorkehrungen erwarten können.
Der von der Kommission ausgesprochenen Rüge dürften vorerst keine juristischen Schritte folgen. Lommel betonte die Kooperationsbereitschaft Tangos. Nachdem der Neukonfiguration des Systems werde man es nochmals prüfen, fügte er jedoch hinzu.
fo/lmo
Sie müssen angemeldet sein um kommentieren zu können