|
14.11.09
Sicherheitslücken
bei „Click and buy“
Badische Heimat Ziel eines Betrugsversuchs
Um insgesamt 130 € versuchte ein Unbekannter die Regionalgruppe
Heidelberg des gemeinnützig arbeitenden Vereins Badische
Heimat e.V. zu erleichtern. In betrügerischer Absicht
gab er am 19.10.09 die – im Internet für Spendenzwecke
frei lesbare – Kontoverbindung des Vereins bei dem
Anbieter des Online-Bezahlsystems „Click and Buy“ an
und gab zwei Tage später einen Lastschrifteinzug über
110 €, eine Woche später einen neuen über
20 € in Auftrag. Finanzieller Schaden entstand keiner,
da der Verein die Lastschrift von seiner Hausbank zurückfordern
ließ.
Der Vorfall offenbart jedoch gravierende Sicherheitsmängel
bei „Click and Buy“. So übersandte das Bezahlsystem
bei der Eröffnung des Accounts durch den Unbekannten
zwar einen Bestätigungscode auf das Konto des Vereins,
machte jedoch die Ausführung des Auftrags nicht von
dessen Eingabe bei der Konto-Aktivierung abhängig. Geprüft
wurde, so ein Mitarbeiter von „Click and Buy“ gegenüber
der Badischen Heimat, nur das tatsächliche Vorhandensein
des Bankkontos.
Der Betrüger hatte keinen Zugriff auf die internen Kontoinformationen
der Badischen Heimat und konnte so auch den übersandten
Bestätigungscode nicht abrufen.
Pikante Bemerkung am Rande: Click-and-Buy hüllte sich
tagelang in Schweigen, als der Vorfall per Mail gemeldet
wurde. Der Mitarbeiter: „Wir arbeiten gerade unsere
AGB um, da kommen sehr viele Kundenanfragen.“
|
