Libri.de ist ein großer Onlinebuchhändler welcher wie amazon oder buch.de täglich sehr viele Bücher verkauft und versendet.
Über einen Kundenspezifischen Downloadlink stellt libri die Rechnungen Online zur Verfügung. Dieser Link enthält eine InvoiceID, welche sich einfach gegen eine andere Beliebige Zahl austauschen ließ. Dadurch gelang der Zugriff auf die Rechnungen von anderen Kunden.
Wie man hier auf Netzpolitik.org nachlesen kann, wurde testweise 20.000 Rechnungen heruntergeladen. Dabei wurde mit einer kleinen Programmschleife die Download links erzeugt und anschließend das etwa 40 KB große Dokument heruntergeladen. So ließen sich innerhalb einer Stunde etwa 20.000 Rechnungen kopieren.
In den Rechnungen waren keinen Kontodaten angegeben. Lediglich Name, Anschrift, Rechnungsbetrag und der gekaufte Artikel. Somit wurden keine sensiblen Daten freigeben. Aber es ließ sich nachvollziehen was Libri so in letzter Zeit verkauft hat.
Dieser Shop hat ein “S@fer-Shopping-Zertifikat” vom TÜV-Süddeutschland. Also sicheres Einkaufen wird garantiert…
Damit lassen sich schöne Markanalysen erstellen. Die erste Rechnung ist laut Netzpolitik.org vom 29. Mai 2008. Da es sich um etwa 500.000 Rechnugnen handelt, weiß man schon mal was so ein Onlineshop wie Libri.de verkauft…
Quelle: Netzpolitik.org
