Merkur-Kundendaten mit hilfe von Nocard geknackt
Studenten der FH-Salzburg ist es gelungen mit Hilfe der App Nocard an Kundendaten des Merkur-Vorteilsprogramms zu kommen.Mitglieder des Merkur-Vorteilsprogramms können ihre Plastikkundenkarte in die offizielle App transferieren. Dazu muss lediglich der Code mit der APP eingescannt werden. Dann fragt die App noch die zugewiesene Postleitzahl ab. Stimmt diese mit dem Profil überein, werden zunächst der Name des Kunden und dessen Kundennummer angezeigt. In der App kann man weiters eine E-Mail-Adresse und Passwort vergeben und erhält Zugriff auf das Kundenkonto.
Wer nun also einen mit Nocard generierten Code einscannt und die Postleitzahl errät, könne sich Zugriff auf Kundendaten verschaffen.
Die Studenten haben dies bei einer Eingeweihten Person getestet und konnten dessen Daten ohne weiteres auslesen und dann noch mit einer beliebigen Mailadresse und Passwort versehen. Danach hatten sie Zugang zu dessen Kundendaten.
Theoretisch wäre es auch möglich ein Skript zu schreiben, welches die Angabe der Postleitzahl übernimmt und somit alle Postleitzahlen Österreichs automatisch durchprobiert.
Update:
In einer Stellungnahme teilte Rewe mit: Zitat:
"Es ist richtig, dass uns Studenten der FH Salzburg auf eine Sicherheitslücke bei einigen wenigen über eine App selbst zu wartende Kundenkonten von Merkur aufmerksam gemacht haben. Diese Sicherheitslücke wurde sofort geschlossen. Wir bedanken uns bei den beiden Studenten der FH Salzburg, dass sie uns darauf aufmerksam gemacht haben und werden sie gerne einladen, an langfristigen Lösungen mitzuarbeiten."
Kurze URL:
Das könnte Dich auch interessieren:
Auch der Lebensmittelhändler Merkur platziert nun in Wien Lockmodule für Pokémon. Der erste Test wird an der Filiale Merkur Hoher Markt durchgeführt.
Nach einem halben Jahr akzeptiert der Rewe-Konzern an Kassen wieder eine Kundenkarten-App eines Drittanbieters.
Weitere News:
Microsoft verteidigt KI, die in Windows 11 alles aufzeichnet
Über 18.000 deutsche Haushalte klagen gegen Amazon Prime
Adobe Creative Cloud wird nun als Spyware bezeichnet
Neue Angriffstechnik stört Lidar, Radar und Kameras zugleich
Flugpassagierin findet gestohlenes Gepäck dank Apple Watch
X erlaubt nun ausdrücklich pornografische Inhalte
Ress sagt "Hello PHP 8.3" ..
aleX fotografiert: Eiskunst aus dem Gefrierschrank
The Pirate Bay Homepage von 2005 bis 2024
Darknet-Rechenzentrum: Cyberbunker soll an Meistbietenden verkauft werden
Über 18.000 deutsche Haushalte klagen gegen Amazon Prime
Adobe Creative Cloud wird nun als Spyware bezeichnet
Neue Angriffstechnik stört Lidar, Radar und Kameras zugleich
Flugpassagierin findet gestohlenes Gepäck dank Apple Watch
X erlaubt nun ausdrücklich pornografische Inhalte
Ress sagt "Hello PHP 8.3" ..
aleX fotografiert: Eiskunst aus dem Gefrierschrank
The Pirate Bay Homepage von 2005 bis 2024
Darknet-Rechenzentrum: Cyberbunker soll an Meistbietenden verkauft werden
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(1)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024