Aldi Talk speichert Teile der Kundenpasswörter in Klarschrift

0
207

Einem Medienbericht zufolge gibt es bei Aldi Talk Mängel bei der Datenspeicherung. Denn der Discounter sichere Kundenpasswörter nicht komplett diebstahlssicher. Dabei haben die Aldi Talk Hotlinemitarbeiter sogar teilweise Zugriff auf die Klarschrift von Passwörtern.

Aldi Talk speichert Passwörter unsicher

Offenbar haben Aldi Talk Hotlinemitarbeiter zum Teil Zugriff auf die Passwörter von Kunden und können einige Zeichen in Klarschrift einsehen. Darauf weist Golem.de in einem Bericht hin, nachdem ein Aldi Talk Kunde auf die Passworteinsicht aufmerksam wurde. Diesen fragte ein Mitarbeiter den Angaben nach bei einem Kundenservicegespräch nach den ersten vier Zeichen seines Passwortes. Der Mitarbeiter konnte die Angaben offenbar mit einem Eintrag in der Datenbank abgleichen.

Auf diesen Vorgang angesprochen, gab Telefónica gegenüber Golem.de an, dass Aldi Talk Passwörter gehasht speichert. Das heißt, dass sich nicht das Passwort selbst, sondern eine Hash-Funktion im System befindet. Dadurch sind die sensiblen Kennwörter deutlich besser vor Diebstahl geschützt als normal verschlüsselte Passwörter. Denn wenn ein Dritter sich Zugang zum System verschafft, kann er die Daten nicht ohne weiteres auslesen oder errechnen.

Passwörter auch zum Teil in Klarschrift

Neben dieser Sicherung, die in vielen seriösen Unternehmen zum Einsatz kommt, speichert Aldi Talk das Passwort jedoch ein weiteres mal ab. Und dort werden tatsächlich die ersten vier Stellen in Klarschrift angezeigt. Dadurch können die Mitarbeiter diese mit den Angaben der Kunden abgleichen. Allerdings birgt dieses Vorgehen auch Nachteile. Denn mit den ersten vier Zeichen lassen sich einfachere Passwörter oft mit wenigen Versuchen erraten.

Ob die teilweise ungehashte Speicherung überhaupt zulässig ist, ist fraglich. Andere Plattformen, zum Beispiel der Chatdienst Knuddels, mussten bereits Bußgelder entrichten, weil nach einem Datenleck herauskam, dass Passwörter ungehasht gespeichert wurden. „Ob auch eine teilweise ungehashte Speicherung von Passwörtern zulässig ist erscheint zumindest fragwürdig“, schreibt Golem.de

Dieses Seite jetzt selbst bewerte