Merkur-Kundendaten mit hilfe von Nocard geknackt
21. Januar 2014, 16:03
| 1 KommentarStudenten der FH-Salzburg ist es gelungen mit Hilfe der App Nocard an Kundendaten des Merkur-Vorteilsprogramms zu kommen.
Mitglieder des
Merkur-Vorteilsprogramms können ihre Plastikkundenkarte in die offizielle App transferieren. Dazu muss lediglich der Code mit der APP eingescannt werden. Dann fragt die App noch die zugewiesene Postleitzahl ab. Stimmt diese mit dem Profil überein, werden zunächst der Name des Kunden und dessen Kundennummer angezeigt. In der App kann man weiters eine E-Mail-Adresse und Passwort vergeben und erhält Zugriff auf das Kundenkonto.
Wer nun also einen mit Nocard generierten Code einscannt und die Postleitzahl errät, könne sich Zugriff auf Kundendaten verschaffen.
Die Studenten haben dies bei einer Eingeweihten Person getestet und konnten dessen Daten ohne weiteres auslesen und dann noch mit einer beliebigen Mailadresse und Passwort versehen. Danach hatten sie Zugang zu dessen Kundendaten.
Theoretisch wäre es auch möglich ein Skript zu schreiben, welches die Angabe der Postleitzahl übernimmt und somit alle Postleitzahlen Österreichs automatisch durchprobiert.
Update:
In einer Stellungnahme teilte Rewe mit:
Zitat:"Es ist richtig, dass uns Studenten der FH Salzburg auf eine Sicherheitslücke bei einigen wenigen über eine App selbst zu wartende Kundenkonten von Merkur aufmerksam gemacht haben. Diese Sicherheitslücke wurde sofort geschlossen. Wir bedanken uns bei den beiden Studenten der FH Salzburg, dass sie uns darauf aufmerksam gemacht haben und werden sie gerne einladen, an langfristigen Lösungen mitzuarbeiten."