14. August 2003

[ Datenschutz , Internet ]

(In)Security by Obscurity bei Aventis

Die Aventis Pharma Deutschland GmbH hat einen "Online Store". Der ist aber nur für Kunden des Unternehmens und nicht für jeden, deshalb muss man sich, bevor man irgendetwas darin tun kann erst anmelden. Das ist in B2B-Shops relativ weit verbreitet und soll verhindern, dass "sinnlose" Bestellungen von irgendwelchen Internetusern abgeschickte werden und vor allem sensitive Geschäftsinformationen nur einem ausgewählten Kreis zugänglich machen.

Bei Aventis nutzt das schöne Login-System aber nichts, denn die Preislisten liegen offen am Netz. Um um sie zu finden muss man nichtmal raten: Die Konkurrenz googelt "Aventis Pharma Preisliste" und gleich der erste Treffer führt zum Ziel! Oder viel harmloser: Man sucht einfach nur nach einem Medikament und fällt in die Liste.

Möglicherweise sind die Listen nicht wirklich wichtig und geheim und es entsteht kein Schaden, wenn sie für jeden einsehbar sind (das kann ich nicht einschätzen). Trotzdem wirft es ein schlechtes Bild auf Aventis, dass sie so unprofessionell für "Sicherheit" sorgen.

(Danke an Andreas, der das Ganze entdeckt und mir gesteckt hat.)

Trackbacks sind Links von anderen Weblogs auf diesen Eintrag.  

Ja hat jemand denen mal Bescheid gesagt?

Moe am 14.08.03 22:04 #
 

Ich gerade eben. Wenn eine Antwort kommt, werde ich sie nach Absprache hier wiedergeben.

Martin Röll am 14.08.03 22:35 #
 

allerdings schon krass wie wenig nicht bloggende webmaster an ihren refs interessiert zu sein scheinen.

Moe am 15.08.03 01:38 #
 

Heilmittelwerbegesetz
Die von Aventis gezeigten Informationen sind für den medizinischen Fachkreis bestimmt und unterliegen den Bestimmungen des Heilmittelwerbegesetzes. Deswegen auch die Registrierung.
Fachkreise im Sinne dieses Gesetzes sind Angehörige der Heilberufe oder des Heilgewerbes, Einrichtungen, die der Gesundheit von Mensch und Tier dienen, oder sonstige Personen, soweit sie mit Arzneimitteln, Verfahren, Behandlungen, Gegenständen oder anderen Mitteln erlaubterweise Handel treiben oder sie in Ausübung Ihres Berufes anwenden.

Heiko Hebig am 15.08.03 09:29 #
 

Update: Aventis hat mir geantwortet. Die Offenheit ist nicht beabsichtigt. Man nimmt die Sache ernst und hat sie gleich an eine ganze Reihe von Leuten mit @aventis.com Emailadressen weitergeleitet. :) Stay tuned, da passiert noch was.

Martin Röll am 15.08.03 16:16 #
 

lustig nur, dass die listen noch immer zugänglich sind. und ich dachte immer, nur wir pädagogen reden erstmal drüber und handeln erst dann ;)

Moe am 16.08.03 16:05 #
 

Unter Ernstnehmen verstehe ich was anderes. Kein robots.txt, kein noindex, da freuen sich die Suchmaschinen natürlich. Und dann noch head und body tags doppelt reinstopfen. Da ist so einiges nicht ganz ernst zu nehmen. Aber am bemerkenswertesten ist die Reaktionszeit, jetzt um 21.45 ist immer noch nichts passiert. So etwas passiert anscheinend besonders gerne bei grossen Companies, woanders ist das ein Telefonanruf und 15 Minuten spaeter waere das ganze Geschichte.

Gerald Steffens am 17.08.03 21:52 #
 

@gerald: *lol*: Die Seite enthält sogar 2 öffnende html-Tags.

Wenn man von
http://www.onlinestore.pharma.aventis.de/

dem Link "Online bestellen" folgt zu
http://www.onlinestore.pharma.aventis.de/scripts/wgate/zvosww20_b2b/!?

kann man im HTML Code lesen:
"This page was created by the
SAP Internet Transaction Server"

Und selbst diese Seite enthält
- falsch geschachtelte table/tr/td-Elemente
- table allign=center
- table allign=center"
- hrefs ohne Anführungszeichen
- nicht codierte Umlaute
- falsch geschlossene HTML-Kommentare
und viel weiteres köstliches Anti-HTML.

Da müssen ganz teure Topberater wohl mal ganz schnell zur Weiterbildung ;-).

Rainer am 18.08.03 00:37 #
 

Nachtrag: Armer Martin, jetzt wird es gefährlich für Dich: Demnächst verklagt Dich Aventis International wegen Anstiftung zur DDoS-Attacke:

http://www.aventis.com/:
"HTTP/1.1 Server Too Busy"

Rainer am 18.08.03 00:53 #
 

Die Preislisten scheinen jetzt vom Netz genommen (oder zumindest umbenannt / an einen anderen Ort verbracht) zu sein.

Martin Röll am 18.08.03 20:57 #