Es hat nicht lange gedauert, bis ich die API der Anbieter in der Hand hatte. Die war auch schön selbstdokumentierend, weil sie auf GraphQL aufbaut. Dann habe ich ein paar potenzielle Queries ausprobiert, und immer mehr Daten in der Hand gehabt, als ich hätte haben sollen. Dann hatte ich die ID von Usern und habe die bei Schnittstellen zu Drittanbietern ausprobiert. Nach mehreren Tagen hatte ich dann alle Daten. Im Endeffekt hatte sich weder bei Merkur noch bei deren Partner und Software-Provider jemand überlegt, wie eine sichere Architektur aussehen könnte. Es scheint, als hätten da immer andere Teams die Integration mit Drittanbietern oder für Zahlungsanbieter gebaut. Sonst hätte man gemerkt: "Oh, wir benutzen da die User-ID zur Authentifizierung, aber die geben wir ja an anderer Stelle auch aus."
Autsch autsch autsch. Leider nix neues.
Es ist empörend dass die Verantwortlichen Betriebe kleinlaut 'tschuldigung sagen und sonst nichts. Das muss doch geahndet werden.
Im Artikel ist die GGL erwähnt, und Merkur. Ist der letztere ein deutscher Betrieb, und die ungenannten Drittanbieter?