Datenlücke im Fanshop des 1. FC Köln

Unter fc-fanshop.de findet man den offiziellen Fanshop des Fußball-Bundesligisten aus Köln. Wir haben einen Hinweis auf eine Sicherheitslücke auf der Seite zugespielt bekommen, durch die man fremde Profile übernehmen kann. Für Mitglieder des 1. FC Köln wird automatisch ein Benutzerkonto auf fc-fanshop.de angelegt. Wenn man Club-Mitglied ist, kann man sich dann mit Vor- und Nachnamen einloggen. Als Standardpasswort wird die Mitgliedsnummer verwendet.

Solche Mitgliedsnummern werden immer wieder in Publikationen des 1. FC Köln, etwa der Fanzeitschrift „Geißbockecho“, veröffentlicht. Das betrifft insbesondere prominente Anhänger des Vereins, aber z.B. auch Personen, deren Mitgliedsnummer eine Schnapszahl darstellt.

Mit diesen Informationen kann man Fanshop-Benutzerkonten übernehmen. Wir haben das testweise bei einigen Prominenten getan – Michael Schumacher ist darunter, Guildo Horn und das Ehrenmitglied Pelé. Allerdings konnten wir auch auf die Profile von weniger bekannten Fans zugreifen, deren Mitgliedsnummern aus verschiedenen Gründen im Vereinsmagazin veröffentlicht wurden. In keinem der Fälle war das Passwort geändert worden. Vermutlich ist den betroffenen Personen nicht einmal bewusst, dass ein solches Konto auf ihren Namen existiert.

Auf der Seite konnten wir einerseits Adressen abgreifen. Andererseits war es auch möglich, selbst eine Email-Adresse nachzutragen und dann die Benutzerkonten für Bestellungen zu missbrauchen. Wir hätten Guildo Horn 100 T-Shirts nach Hause schicken können – zahlbar per Nachnahme.

Das Problem war bereits seit zwei Jahren bekannt. Damals hatte unsere Quelle das erste Mal per eMail auf die Sicherheitslücke hingewiesen. Doch nach einem Jahr war das Problem noch immer nicht behoben. Unsere Quelle richtete sich deshalb direkt telefonisch an den 1. FC Köln. Auf eine Versicherung, sich der Angelegenheit zu widmen, folgten allerdings keine Taten. Die Lücke existierte also zwei Jahre lang – erst in Anbetracht unserer Ankündigung, sie zu veröffentlichen, wurde dem gestern Abhilfe geschaffen.

Wir haben vom 1. FC Köln folgendes Statement erhalten:

Der Datenschutz der Mitglieder- und Kunden Daten liegt dem 1. FC Köln sehr am Herzen. Um Missbrauch vorzubeugen und die persönlichen Mitglieds- und Kundendaten zu schützen, haben wir für alle Mitglieder ein neues Passwort für den Zugang zu unseren Online-FanShop erstellt, das zufallsgeneriert wurde. Mitglieder können Ihr neues Passwort ab sofort in unserem Online-FanShop abrufen. Um die Sicherheit und den Schutz der persönlichen Daten zu erhöhen, haben wir unsere Mitglieder – wie zuvor auch – nochmals dringlich darauf hingewiesen, nach Erhalt des neu generierten Passwortes ein neues selbst gewähltes Passwort zu nutzen. Wir denken, dass wir damit einen möglichen Missbrauch beim Mitglieder-Login ausschließen können.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

27 Ergänzungen

  1. Man Man ich weiß schon warum ich nicht an Vereinsmeierei, Gewinnspielen teilnehme und allgemein für alle Onlineaktivitäten die abseits von Zahlungen liegen ein Fakeprofil betreibe.

    Was erschreckend ist, ist diese Sorglosigkeit, von Firmen, bei denen man u.U. Daten abgeben muss. Auch ein ich mach mal ein Account, nur weil ich anderswo Mitglied bin, geht ja mal gar nicht. Unfassbar

  2. Wie bitte ist das gemeint, dass man das neue Passwort für den Fanshop im Fanshop abrufen kann?
    Die einzige vernünftige Erklärung für mich ist, dass das neue Passwort erst nach dem nächsten Login gültig wird. Bei Leuten, die nichts von ihrem Konto dort wissen ändert sich das Passwort also nie.

  3. Aaaargh!
    Es gibt doch sicherlich für alle halbwegs relevanten Shop/Foren/etc-Systeme Module, die den User beim ersten Einloggen zur Wahl eines eigenen, neuen Passworts zwingen…

    …selbst mein Router ist so pingelig!

  4. Dieses „Mitglieder können Ihr neues Passwort ab sofort in unserem Online-FanShop abrufen“ irritiert mich auch sehr… was ist da jetzt geändert?

  5. Ich finde das ziemlich erbärmlich. Es sieht so aus als wurde hier zwei Jahre lang ein Datenleck komplett ignoriert. Und jetzt gibt es offenbar eine halbherzige Antwort, keine Transparenz, noch nicht mal ein Wort des Bedauernd und vor allem dem Anschein nach keine ernsthafte Lösung des Problems. Wenn neue Passwörter erst nach einem erneuten Login aktiv sind, dann sind die Accounts weiterhin kaperbar.

  6. Wahrscheinlich heisst das ganz einfach, dass man vor dem Einloggen auf den „Neues Passwort abrufen“-Link im oberen Bereich der Fanshop-Seite klicken soll?! Manche Fragen erledigen sich auch, wenn man sich die besprochene Seite für zwei Sekunden anschaut…

  7. Seltsame Lösung. Wenn man da nicht draufklickt, bleibt dann das alte Passwort gültig? Dann ist eben der Account weiterhin kaperbar. Wenn es aber nicht gültig bleibt, dann wäre wiederrum der Knopf unnötig.

    Und so oder so: Unklar formuliert. Der FCN-Fanshop wird also nach Möglichkeit künftig von mir gemieden.

    1. @Shopper: Hier nochmals das Zitat aus der Presse-Mitteilung:
      […] haben wir für alle Mitglieder ein neues Passwort für den Zugang zu unseren Online-FanShop erstellt, das zufallsgeneriert wurde. Mitglieder können Ihr neues Passwort ab sofort in unserem Online-FanShop abrufen. […]

      Du _willst_ das unbedingt falsch verstehen, oder? Meinst Du echt, die würden die Liste mit neuen Passwörtern nur generieren, aber die alten nicht überschreiben? Meinst Du echt, netzpolitik.org würde den Fall hier bereits publik machen, wenn die alten Passwörter noch gültig wären?

  8. @Malte Hübner (#3)

    Versuche mal folgendes: drehe den Sinn einer PR-Aussage ins Gegenteil. Meistens erhälst du dann etwas, das der Wahrheit sehr nahe kommt.

    Funktioniert auch prima bei vielen Statements von Politikern und Ökonomickymäusen.

  9. Naja, also um 100 T-Shirts für Gildo Horn per Nachnahme zu bestellen muss ich nun nicht den Account \hacken\. Da kann ich mich einfach bei einem x-beliebigen Händler unter seinem Namen anmelden und bestellen…
    Auch würde mich mal interessieren, was genau man denn für Daten bei den automatisch erstellten Accounts der Promis einsehen konnte? Doch wahrscheinlich nur ohnehin bekannte Daten?
    Und wer sich dort registriert und das default Passwort nimmt, tja, dem ist eh nicht mehr zu helfen. Würde man ihn zwingen es zu ändern, so würde er es wohl auf \password\ oder \123\ ändern…

    So ganz sehe ich das Datenleck nicht.

  10. Konzeption, Realisierung und Fulfillment des FC Fanshops: http://www.004gmbh.de

    kann gut sein, dass die hier Mist gebaut haben. Kann mir nicht vorstellen, dass jemand beim FC weiss was „Datenlücke“ überhaupt bedeutet.

    Watt wills do? Datenlücke? Ham wer net!
    Ja doch, ihr wisst es nur nicht… 8-)

  11. @Anonymous (#12)

    Im Text steht:

    Für Mitglieder des 1. FC Köln wird automatisch ein Benutzerkonto auf fc-fanshop.de angelegt. […] deren Mitgliedsnummern aus verschiedenen Gründen im Vereinsmagazin veröffentlicht wurden […] Vermutlich ist den betroffenen Personen nicht einmal bewusst, dass ein solches Konto auf ihren Namen existiert.

    Wenn die Kunden nicht wissen, dass sie Kunden sind und ein Online-Konto haben, von dem sie nichts wissen, wie sollen sie dann das Passwort ändern? Wenn dann noch dritten deren Logindaten bekannt sind, ist es möglich, unter fremder Identität zu bestellen.

    Wo bekommt man die Adressen (ggf. plus Bankdaten) Prominenter wie Michael Schumacher und Pelé? Hast du einen Link da?

    Selbst wenn du diese Daten hättest und damit ein Konto bei einem seriösen Online-Händler eröffnen und 100 T-Shirts bestellen wolltest, wäre aufgrund deiner vermeintlichen Prominenz mit einer Verifikation seitens des Händlers zu rechnen. Wenn aber das Konto bereits besteht, dürfte man die Bestellung einfach abwickeln.

  12. http://www.adressbibel.de/
    OK, kA wie seriös das ist, ein Staatsgeheimnis sind die Adressen von Promis auf jeden Fall nicht (der Fanshop hat die Daten ja auch irgendwo her).

    Überhaupt steht die Anschrift der meisten Deutschen im Telefonbuch, oder lässt sich wo anders in Erfahrung bringen. Ich könnte z.B. nun 100 T-Shirts für Marcus bestellen, seine Daten gibts beim .org-Registrar. Haben die nun ein Datenleck? ;)

    (Bei 100 wird der Fanshop vielleicht stutzig, bei 5 wohl eher weniger)

    Abgesehen davon entsteht der Schaden ja auch nur beim Händler: der Kunde verweigert einfach die Annahme des Pakets…

  13. @Anonymous (#18)

    der Fanshop hat die Daten ja auch irgendwo her
    Vermutlich aus den Mitgliederakten des 1. FC Köln.

    Ich stehe nicht im Telefonbuch, aus guten Gründen. Wäre ich prominent, hätte ich noch mehr gute Gründe. Und noch bessere Gründe habe ich, dass meine persönlichen Daten nicht jedermann bekannt sind / werden können.

    Du rechtfertigst die Existenz eines Missstandes mit der Existenz dieses Missstandes.

  14. Das ist ja unglaulich das der 1FC KÖln mit den den Daten, Ihrer Mitglidern so um gehen.Ich bin entäuscht darüber so über meinen Liebsligsverein des 1 FC Köln zu Lesen und so was zu erfahren.
    Da kann ich ja froh sein das nur ein Fan,und kein Mitglid bin.
    Ich hatte nie darn gedacht Mitglid zu werden
    Am Wochenende bin ich mal wieder im Stadion in Berlin bin.
    Um das Spiel Herta Bsc Berlin gegen den 1 Fc Köln leif zu sehen .

  15. rofl…
    „Der Datenschutz der Mitglieder- und Kunden Daten liegt dem 1. FC Köln sehr am Herzen.“

    jaaa nee is klar, aber bekannte (und darauf hingewiesene Sicherheitslücken) Risiken werden 2 Jahre ignoriert.

    Lächerlich!

  16. Hehe, dieser Blog mutiert ja richtig zu einem Datensicherheitloch Berichterstattungs Werkzeug. Das gefällt mir ;)

    Das „Passwort zurücksetzen“ als Massnahmen hatten wir doch schon bei einem grossen Buchhändler ;)

  17. Der Verein geht mit seinen Fan-/Kundendaten so um, wie seine Kicker Fußball spielen können, nämlich überheblich-nachlässig bis gar nicht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.