technofreak
Forenveteran
http://www.heise.de/newsticker/meldung/45566
Mahlzeit !
Heise schrieb:Durch einen primitiven Fehler auf den Webseiten des amerikanischen Bezahl-Dienstleisters PaySystems waren tausende von Kundendatensätzen einschließlich Kreditkartendaten zugänglich. Jeder PaySystems-Kunde konnte dabei die Daten anderer Kunden einsehen und sogar ändern.
PaySystems bietet an, Bezahlvorgänge zu widerrufen. Dabei wird diesem Vorgang eine Transaktionsnummer zugewiesen, die beim Aufruf der zugehörigen Informationen als Parameter in der URL auftauchte. Durch Ändern dieses Parameters konnte man beliebige Transaktionen anderer Kunden abrufen und anschließend über eine zweite URL auch deren Adresse und Kreditkartendaten.
Mahlzeit !