Scheunentor: Saturn MP3-Shop

mp3-saturn

heise security warnt vor dem Eingeben von Kreditkartendaten bei Saturns neuem MP3 Shop.Wer den Weihnachten gestarteten MP3-Shop mp3.saturn.de durch den HTML-Tester unter validator.w3.org schickt, wird mehr als 1200 Fehler und über 600 Warnungen finden. Es ist üblich, dass Websites und vor allem Shops nicht im reinsten HTML gehalten sind. Aber die schiere Masse an Fehlern angesichts des übersichtlichen Codes auf der Frontpage läßt tief blicken. Einige Nutzer von heise online berichten weit Schlimmeres: Nutzerkonten scheinen sporadisch für Fremde erreichbar zu sein.

Auf Nachfragen zur Ursache erhielt heise online noch keine Antwort. Es läge nahe, dass ein Programmierfehler in der Sitzungsverwaltung zu dem Datenleck geführt habe. Auch der Shop selber scheint nicht für jeden die vollen Funktionen bereitzustellen, wie die Nutzer in den heise Foren berichten. Schade, dass die deutschen Dienstleister immer so vehement auf die Bremse drücken, wenn es darum geht, alltägliche Funktionen ins Netz zu verlegen. Bisher waren aber meist nur die Dienstleister der Behörden mit extrem dilettantischen Lösungen aufgefallen. Die Diskussion, ob es nicht sinnvoller gewesen wäre, so eine Lösung mit Python oder Ruby umzusetzen, wenn man denn eCommerce unbedingt neu erfinden will, ist offenbar müßig, schaut man sich gerade die erfolgreichen deutschen Anbieter für Online-Shops an. Sie haben schon gezeigt, dass man auch mit dem als unsicher geltenden PHP leistungsfähige und sichere Shops bauen kann, die große Volumina an Kunden bedienen..


Update1:
Saturn teilt mittlerweile mit, den Fehler behoben zu haben. Allerdings weist das Unternehmen darauf hin, dass Kreditkarten- und Kontodaten nicht bei den Nutzerdaten gespeichert werde und daher auch nicht von anderen Nutzern eingesehen werden könne, solange die Sicherheitslücke bestand.
Trotzdem sollten alle Nutzer ihr Passwort umgehend ändern.


Update2: 31.12.2009:
Mittlerweile ist die Seite off. Mal sehen, ob und wie die Kunden entschädigt werden. (siehe die Kommentare unten oder Genaueres hier bei heise.de)

Jörg Wittkewitz

Jörg Wittkewitz

  ist seit 1999 als Freier Autor und Freier Journalist tätig für nationale und internationale Zeitungen und Magazine, Online-Publikationen sowie Radio- und TV-Sender. (Redaktionsleiter Netzpiloten.de von 2009 bis 2012)

More Posts