Merkur-Kundendaten mit hilfe von Nocard geknackt
21. Januar 2014, 16:03 | 1 KommentarStudenten der FH-Salzburg ist es gelungen mit Hilfe der App Nocard an Kundendaten des Merkur-Vorteilsprogramms zu kommen.
Mitglieder des Merkur-Vorteilsprogramms können ihre Plastikkundenkarte in die offizielle App transferieren. Dazu muss lediglich der Code mit der APP eingescannt werden. Dann fragt die App noch die zugewiesene Postleitzahl ab. Stimmt diese mit dem Profil überein, werden zunächst der Name des Kunden und dessen Kundennummer angezeigt. In der App kann man weiters eine E-Mail-Adresse und Passwort vergeben und erhält Zugriff auf das Kundenkonto.
Wer nun also einen mit Nocard generierten Code einscannt und die Postleitzahl errät, könne sich Zugriff auf Kundendaten verschaffen.
Die Studenten haben dies bei einer Eingeweihten Person getestet und konnten dessen Daten ohne weiteres auslesen und dann noch mit einer beliebigen Mailadresse und Passwort versehen. Danach hatten sie Zugang zu dessen Kundendaten.
Theoretisch wäre es auch möglich ein Skript zu schreiben, welches die Angabe der Postleitzahl übernimmt und somit alle Postleitzahlen Österreichs automatisch durchprobiert.
Update:
In einer Stellungnahme teilte Rewe mit: Zitat:
"Es ist richtig, dass uns Studenten der FH Salzburg auf eine Sicherheitslücke bei einigen wenigen über eine App selbst zu wartende Kundenkonten von Merkur aufmerksam gemacht haben. Diese Sicherheitslücke wurde sofort geschlossen. Wir bedanken uns bei den beiden Studenten der FH Salzburg, dass sie uns darauf aufmerksam gemacht haben und werden sie gerne einladen, an langfristigen Lösungen mitzuarbeiten."
Kurze URL:
Das könnte Dich auch interessieren:
Auch der Lebensmittelhändler Merkur platziert nun in Wien Lockmodule für Pokémon. Der erste Test wird an der Filiale Merkur Hoher Markt durchgeführt.
Nach einem halben Jahr akzeptiert der Rewe-Konzern an Kassen wieder eine Kundenkarten-App eines Drittanbieters.
Weitere News:
aleX fotografiert: Bei einem Spaziergang am Friedhof um Herbstimpressionen einfangen
Windows 11: Sogar Notepad bekommt ein KI-Feature
Patchmanagement: Auto-Upgrade auf Windows Server 2025 frustriert Admins
Soziale Medien: Australische Regierung treibt Pläne für Mindestalter voran
Interpol zerschlägt weltweites Netzwerk von Cyberkriminellen
aleX fotografiert: Die Jagt nach den Nüssen - Werden sich die Eichhörnchen gegen die Raben durchsetzen?
Ryzen 7 9800X3D: Schnellste Gaming-CPU der Welt
Smarte Fritteusen lauschen und senden Daten nach China
Was wären die mögliche Auswirkungen der Präsidentschaft von Donald Trump oder Kamala Harris auf die USA
Apple: Airtag Daten lassen sich nun temporär mit jedem zu teilen
Windows 11: Sogar Notepad bekommt ein KI-Feature
Patchmanagement: Auto-Upgrade auf Windows Server 2025 frustriert Admins
Soziale Medien: Australische Regierung treibt Pläne für Mindestalter voran
Interpol zerschlägt weltweites Netzwerk von Cyberkriminellen
aleX fotografiert: Die Jagt nach den Nüssen - Werden sich die Eichhörnchen gegen die Raben durchsetzen?
Ryzen 7 9800X3D: Schnellste Gaming-CPU der Welt
Smarte Fritteusen lauschen und senden Daten nach China
Was wären die mögliche Auswirkungen der Präsidentschaft von Donald Trump oder Kamala Harris auf die USA
Apple: Airtag Daten lassen sich nun temporär mit jedem zu teilen
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(1)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar abgestimmt...
;-)
© by Ress Design Group, 2001 - 2024