Cablecom-Lücke kaum ausnutzbar

Eine Sicherheitslücke im Kundencenter der UPC Cablecom erlaubte es Kunden, die Rechnungen anderer Kunden einzusehen. Das Vorgehen dafür war äusserst einfach. UPC Cablecom reagierte schnell und schloss die Lücke wenige Stunden, nachdem sie von Reporten des SRF entdeckt wurde.

Die Kundendaten konnten über eine einfache Manipulation der URL eingesehen werden. Im Kundencenter MyUPC bietet UPC Cablecom seinen Kunden alle Rechnungen zum PDF-Download an. Kopierte man den Downloadlink zu einer der Rechnungen und fügte ihn in die Adresszeile des Browsers ein, wurde die Rechnungsnummer im Link ersichtlich. Die Rechnungsnummer liess sich durch eine andere Rechnungsnummer ersetzen, wodurch man Zugang auf jede beliebige UPC-Cablecom-Rechnung erhielt.

Auf einer UPC-Cablecom-Rechnung sind diverse private Daten ersichtlich, die so mancher nicht gern an der Öffentlichkeit hätte. Beispielsweise detaillierte Telefonauszüge, also, welche Nummern gewählt wurden und wie lange das Gespräch dauerte. Auch ersichtlich sind andere kostenpflichtige Dienste wie heruntergeladene Erotikfilme.

Was die Lücke etwas abschwächt: Man konnte nicht gezielt nach einer Person suchen, sondern nur zufällige Rechnungsnummern abgrasen. Auch ein Massendownload war so nicht ohne Weiteres möglich. Problematisch ist eine solche Lücke dennoch: Mit den Daten hätten Hacker sich am Telefon als UPC-Cablecom-Vertreter ausgeben oder Änderungen am Nutzerkonto durchführen können.