Die Basisdaten liefert die Webseite nocard.info, danach reichte die Eingabe einer passenden Postleitzahl aus, um an die Kundendaten zukommen. - © Screenshot: Archiv/nocard.info
Die Basisdaten liefert die Webseite nocard.info, danach reichte die Eingabe einer passenden Postleitzahl aus, um an die Kundendaten zukommen. - © Screenshot: Archiv/nocard.info

Wiener Neudorf/Wien. Zwei Studenten der FH Salzburg ist es gelungen, auf fremde Kundendaten der Supermarktkette Merkur zuzugreifen. Sie informierten über diese Sicherheitslücke die Rewe Group, die die Informationen prüfen will. Immerhin besitzen rund drei Millionen Österreicher Merkur-Kundenkarten.

Die beiden Burschen hatten sich über Nocard-Info die Codes besorgt und in der Folge mit der offiziellen Merkur-App "gespielt". So gelangten sie Zugriff auf eine Kundenkarte - inklusive sämtlicher personenbezogener Daten wie Name, Adresse, Telefonnummer, Anzahl der Treuepunkte und personalisierte Rabattangebote. Ebenso wurde das Profil eines informierten Kollegen geknackt. "Wir könnten jetzt losgehen und mit einem Skript Zugriff auf weitere fremde Accounts erlangen", so David Grübl zum "Kurier".

Postleitzahl als Ausgangspunkt
Grübl und sein Kollege Stephan Bönnemann hatten mit der Merkur-App Codes des Online-Portals Nocard.Info eingescannt. Um Zugriff zu den Nutzerprofilen der Merkur-Kunden zu bekommen, mussten sie die Postleitzahl zu erraten. "Bei 1010 Wien hatten wir binnen kürzester Zeit einen Treffer." Und so vollen Zugriff auf das User-Profil.

Ausgangspunkt war die Kundenkarten-Plattform nocard.info online. Kunden von Billa, Bipa und Merkur können mit deren Hilfe anonym, allerdings mit den Daten von Kundenkarten realer Personen, Rabatte der jeweiligen Geschäfte in Anspruch nehmen. An den Kassen von Merkur wird deshalb nur mehr die eigene App akzeptiert.

Rewe bedankt sich bei Studenten
Die Sicherheitslücke ist sofort geschlossen worden, betonte heute, Mittwoch, REWE International AG Pressesprecherin Ines Schurin. Man bedanke sich bei den beiden Studenten der FH Salzburg und lud diese ein, an langfristigen Lösungen mitzuarbeiten. Zugleich wies sie darauf hin, dass der Zugriff auf die gesamten bzw. größere Bereiche der Merkur Kundendatenbank ausgeschlossen war und ist.