Wer sich als Kunde bei buch.de angemeldet hat, hat damit seine persönlichen Daten – einschließlich Kreditkartennummer oder Bankverbindung – im Klartext über das Internet übertragen. Da diese Informationen bei der ersten Bestellung in der URL enthalten waren, können sie sich sogar in den Log-Dateien von Proxy-Servern wiederfinden.
Bei bereits registrierten Kunden enthielten die URLs E-Mail-Adresse und Passwort und damit alle notwendigen Daten, um an die Kundendaten auf dem Server zu kommen. Nach der Benachrichtigung durch c't hat buch.de die Bestellformulare zweitweise deaktiviert. Inzwischen hat der Online-Buchladen das Problem korrigiert und das Bestellformular geändert.
Bisher ist noch nicht bekannt, wie lange die fraglichen Programme auf dem Server schon im Einsatz waren und wie viele Benutzer betroffen sind. Auf jeden Fall sollten alle buch.de-Kunden in nächster Zeit ein wachsames Auge auf ihre Kreditkartenabrechnungen haben