27. Mrz 2008 14:19
Ohne größere Hindernisse sollen Unbefugte an die persönlichen Daten von ADAC-Mitgliedern gelangen und Waren auf deren Rechnung bestellen können, berichtet ein IT-Fachportal. Der Automobilclub wiegelt ab.
Demnach haben Mitarbeiter des IT-Portals bei einer Recherche zum Thema Datenschutz auf der ADAC-Seite festgestellt, dass Unbefugte die Passwörter für den Online-Zugang im Mitgliedsbereich ändern können. «Voraussetzung dafür ist, dass Angreifer eine fremde ADAC-Karte in ihren Besitz gebracht oder sich die darauf aufgedruckten Daten (Name, Mitgliedsnummer und Beitrittsjahr) notiert haben», heißt es in einem Bericht.Denn für die Funktion «Passwort ändern» auf der ADAC-Webseite werde weder ein bereits bestehendes Passwort noch eine E-Mail-Adresse oder ein anderweitiges Identitätsmerkmal überprüft. Ein Fremder könne einfach ein neues Kennwort eingeben und somit auf die Daten des Mitglieds zugreifen.
Sollte das ADAC-Mitglied im Bereich «Mein ADAC» eine Kontonummer hinterlegt haben, dann könne der Eindringling über den sogenannten Webshop das Optionsfeld «Per Bankeinzug bezahlen, meine Daten sind bekannt» aktivieren und anschließend etwas bestellen. Außerdem könne man hier eine alternative Lieferadresse eintragen. Ein Selbstversuch habe gezeigt, dass die Bestellung tatsächlich innerhalb weniger Tage ankomme.
