Hinweis: Sicherheit bei Afterbuy
09.10.2008
Das Sicherheitsblog macht darauf aufmerksam, dass es bei Afterbuy ein Problem mit Dtaen geben soll:
Ein Klick auf den Link bringt den Käufer zu einer Auftrags- und Statusübersicht – ohne Authentifizierung, aber brav SSL-verschlüsselt. Auf der besagten Webseite fanden sich dann allerlei Daten über Käufer und Verkäufer der Ware. Der eBay-Benutzername, der reale Name, die vollständige Adresse, Telefon- und Faxnummer, Mailadressen, die Bankverbindung des Verkäufers und natürlich alles Wissenswerte über den gekauften Artikel. […] Die SSL-Verschlüsselung ist als Schutzmaßnahme natürlich reichlich sinnlos, wenn der Zugriff auf die Webseite keine Authentifizierung erfordert. Die Grundannahme “den Link kennt ja niemand” ist naiv.
Wenn das so stimmt, wäre es jedenfalls übel – mangels Prüfungslink kann ich dazu nichts sagen und verweise hier nur auf den dortigen Artikel.