Was kann man mit diesen wenigen Zeilen php-Code herausfinden?
$i=xxxxxx;
while ($i<xxxxxx) {
echo “<img src=’http://server.de/xxxxxx”.$i.”w07.jpg’ > </p>”;
$i=$i++; }
Vermutlich alle Namen jener Kunden, die Stampit der Deutschen Post nutzen. Ich gehöre auch dazu und erhielt kurz vor Weihnachten eine tolle eCard:
Dahinter steckt eine verblüffende Technologie, die mir schon vor einigen Jahren bei LetterJames aufgefallen ist: Der eigene Name lässt sich realitätsgetreu in Fotos einbauen und erscheint z.B. als Graffiti auf einer Hauswand oder eben als Ausstechform für Weihnachtsgebäck.
Die Deutsche Post fand die Idee personalisierter eCards wahrscheinlich auch so toll wie ich und übergab der AlphaPicture i-clue Maertterer GmbH
(dem Erfinder dieser Technologie) ihren Kundendatenbestand mit der Bitte, daraus Weihnachtskarten zu zaubern. Das gelang ganz wunderbar, allerdings sind die personalisierten Bilder in den E-Mails mit fortlaufender Nummerierung eingebunden. Angenommen, mein Foto wird vom Server mit der Nummer 245w07.jpg heruntergeladen, so ist es möglich, durch Austausch der ersten drei Ziffern die eCards beliebig anderer Stampit-Kunden anzusehen. Beispiele gefällig?
Je nachdem, wie lange ich das Script laufen lasse, bekäme ich unzählige Namen von Kunden der Deutschen Post angezeigt. Damit allein können potenzielle Bösewichte zwar nichts anfangen, eine ärgerliche Weihnachtssicherheitslücke ist es dennoch.
Endlich mal Zeit gefunden, diese Internetseite aufzuräumen und ein neues Theme zu installieren.