Mangelnde Zahlungsüberprüfung im ipayment-Modul macht kostenfreien Einkauf in Online-Shops kinderleicht.

Bereits Mitte vergangenen Jahres machten Mitarbeiter von Phoenix Medien darauf aufmerksam, dass die in den Shop-Systemen osCommerce und xt:Commerce integrierte Kreditkartenimplementierung für den Zahlungsdienst von 1&1 nicht PCI-konform sei und möglicherweise Sicherheitsrisiken in sich berge.

Untersuchungen in Zusammenarbeit mit dem Sicherheitsdienstleister SySS deckten weitere Lücken in der Zahlungsdatenverarbeitungen des Moduls auf, die es u. U. ermöglichen, ohne Eingabe von Kreditkartendaten eine Bestellung vorzunehmen.

Phoenix Medien reagierte auf diese gravierenden Mängel in der Shop-Software prompt und entwickelte für seine Kunden ein sicheres und PCI-konformes Modul für die Zahlungsabwicklung über ipayment.

In Kooperation mit 1&1, xt:Commerce, SySS und dem Heise Zeitschriften Verlag wurde der von Phoenix Medien entwickelte Patch in einer breit angelegten Aktion am heutigen Mittwoch veröffentlicht.

Über die Sicherheitsmängel, die während eines Penetrationtests für den Kunden eShoppen entdeckt wurden, wird der Artikel "Zechpreller" (Download als PDF) in der kommenden Ausgabe der c't (06/08) detailliert berichten.

Besucher der CeBIT sind darüber hinaus eingeladen, auf dem Heise Forum '08 (Halle 5, Stand E38) am Live-Hacking teilzunehmen. Mitarbeiter von Phoenix Medien werden zu Gesprächen ebenfalls vor Ort sein.