Sicherheitslücken in bekannten Mailern ermöglichen Passwortdiebstahl

[flexo]

Kommerziellen Code öffentlich zu zeigen dürfte recht teuer werden.

Wenn ich mich Recht errinere, kann man in Dtl. ledliglich über die Schadensersatzschiene Geld bekommen - sollte für Mr. Jagusch doch recht schwer werden, das nachzuweisen... mal abgesehen davon, dass ich bezweifele, dass diese Menge an Code überhaupt schützbar ist (da war doch was vonwegen Originalität)...

(Okay, wo ich nochmal darüber nachdenke, es ist schon recht "originell", das Problem der Refvergütung so zu lösen...)

Und noch ein Edit: Okay, es gibt da dann natürlich noch die Möglichkeit, dass ich mir selbst ne Vertragsstrafe aufbrumme, aber vor dem Hintergrund, dass ich nicht denke, dass diese Codemenge schützbar ist, werde ich das wohl kaum tun.

 

[Talion]

Ich gehe mal davon aus, dass du den Jagusch Code nicht kennst? Das sind keine Fälle wo der Author "was vergessen" hat - weitgehend *nirgendwo* wird *irgendwas* escaped. Dein "Bugreport" hat mir nicht viel neues gesagt, als er an mich weitergeleitet wurde...

Ja, ich hatte bislang von dem Code noch keine Zeile gesehen. Den Eindruck, dass einzig magic_quotes fürs escapen zuständig ist, hatte ich nach einer Weile auch so schon, aber die Realität scheint ja nochmal ein Stück schlimmer auszusehen als man sich das so vorstellt

Die Argumente, dass Bugfixes nicht wirtschaftlich sind und die Schadensbegrenzung einfach wäre, kann ich natürlich ein stück weit nachvollziehen. Dass die erreichbaren Daten nicht übermäßig kritisch sind ist mir auch bewusst, obwohl zumindest die Passwörter (angesichts der immer wiederkehrenden Meldungen "klamm-Account gahackt" etc.) sicher nicht völlig uninteressant wären.
Meine Überlegung war ursprünglich, dass a) ein Script mit diesen Lücken höchstwahrscheinlich bei näherem Hinsehen auch weitere Lücken hat und b) dass niemand der das weiß eine Seite damit betreiben würde - gut, wieder was gelernt.
Und selbstverständlich habe ich mich auch nicht gezielt gegen die hier genannten Mailer richten wollen, sondern zufällig die herausgegriffen auf die ich zuerst gestoßen bin, obwohl es sicher viele weitere mit Sicherheitslücken gibt. (Angestoßen wurde das ganze durch diesen Thread, also eher zufällig.)

Ich kenne mich im Paid-Sektor kaum aus; wenn alle Welt es da dank der geringen Gewinnmargen gewohnt ist, mit verbuggten Scripten zu arbeiten und diesen Umstand so lange wie möglich zu zu ignorieren, werde ich das nicht ändern können. Ob es sich wirklich nicht auszahlen würde, einige wenige sauber programmierte und einwandfreie Mailer zu haben anstatt eine unüberschaubare Anzahl auf dem selben Script basierender Klone, kann und will ich nicht beurteilen.

 

[tobias1985]

@ewin,nebel: Ihr seht das leider zu harmlos.

Mal ein kleines Beispiel:
- Ich bin Konkurent XY.
- Ich lege mir bei einem Freehoster eine Seite an, die ich bewerben "möchte"
- Ich baue im Iframe etwas ein, das den Account eurer User löscht
- Ich buche bei euch eine Mail um Werbung für die oben genannte Seite zu machen
Die Chance, dass User dabei eingeloggt waren (weil manche die Mails aus dem Userbereich aus bestätigen), ist damit gegeben.
Und schwups haben zig aktive User keinen Account mehr bei euch.
Natürlich wäre es strafbar. Aber die Chance dass ihr den Verursacher rausbekommt ist gering.
Also seht das bitte nicht ganz so harmlos und seid froh, dass ihr darauf hingewiesen wurdet.

 

[DadyCool]

Im Grunde ist es wie immer nur eine finanzielle Betrachtung. Das sieht man ja auch an anderen Softwareprodukten. Die Produkte werden einfach viel zu schnell auf den Markt geworfen. Ist ja auch verständlich, schließlich müssen die Progger auch bezahlt werden. Aber dadurch ist einfach zu wenig Zeit da, um alles richtig zu testen. Ich denke viele Softwareentwicklungen werden einfach falsch kalkuliert.

Ich persönlich würde mit so einem Script keinen Paidmailer aufmachen. Ich hätte am Anfang nach einem „anständigen“ Script gesucht, welches z.B. Bugfix-Supportet bietet. Sollte sich so ein Script finanziell nicht rechnen, dann würde ich persönlich keinen Mailer aufmachen. Das Risiko würde ich meinen Usern nicht zumuten wollen.

Naja, das ist halt meine persönliche Meinung und was ist heute schon sicher . Bis jetzt ist mir auch noch nicht zu hören gekommen, dass mit dem Script ernsthaft was passiert ist.
Ich hoffe das wird auch nicht passieren Jedoch ein besonders gutes Gefühl habe ich bei solchen Mailern halt nicht

 

[flexo]

Ja, ich hatte bislang von dem Code noch keine Zeile gesehen. Den Eindruck, dass einzig magic_quotes fürs escapen zuständig ist, hatte ich nach einer Weile auch so schon, aber die Realität scheint ja nochmal ein Stück schlimmer auszusehen als man sich das so vorstellt

Oh ja. Ich glaube ich habe im SQL Code noch kein einziges JOIN gesehen. Oder UNIQUE constraints. Integers werden in VARCHAR gespeichert. Uhrzeiten auch (als UNIX Timestamp in VARCHAR). Und sowieso ist alles MyISAM. Und vor einer Umrechnung macht man grundsätzlich Backups, weil durch fehlende Transaktionen und Locks kann da natürlich ne Menge schiefgehen. Da bleibt dann nur zu hoffen, dass das Umrechnungsskript schnell genug fertig ist (den Code zur Berechnung der Refpunkte hast du ja gesehen) - denn wenn das PHP Skript in der Mitte dann stirbt hast du ein Problem.

(Ja, das ist jetzt relativ Kontextlos, ich muss mir diesen Horror halt mal von der Seele reden...)

Die Argumente, dass Bugfixes nicht wirtschaftlich sind und die Schadensbegrenzung einfach wäre, kann ich natürlich ein stück weit nachvollziehen.

Klingt ganz schön übel, wenn man das so klar geschrieben sieht. Aber so sieht die Realität nunmal aus, und das nicht nur in der "unprofessionellen" Paid4-Szene...

Meine Überlegung war ursprünglich, dass a) ein Script mit diesen Lücken höchstwahrscheinlich bei näherem Hinsehen auch weitere Lücken hat und b) dass niemand der das weiß eine Seite damit betreiben würde - gut, wieder was gelernt.

In Bezug neue Mailer die starten und Jagusch benutzen gebe ich dir Recht - absolut Idiotisch (auch wirtschaftlich, die ganzen Bugfixes müssen ja auch bezahlt werden).

Aber in Bezug auf Mailer die schon seit längerem auf dem Markt etabliert sind - dort kann man nicht mal schnell das Skript gegen was neues tolles besseres austauschen - denn mal abgesehen von den Kosten sowas komplett individuell neu entwickeln zu lassen, die Migration würde ja auch Arbeit & Geld kosten... dann gibt es haufenweise entwickelte Addons für die bezahlt wurde die dann portiert werden müssten usw. usf.

Und selbstverständlich habe ich mich auch nicht gezielt gegen die hier genannten Mailer richten wollen, sondern zufällig die herausgegriffen auf die ich zuerst gestoßen bin, obwohl es sicher viele weitere mit Sicherheitslücken gibt.

Okay - so wirkte das ganze nämlich, deswegen wohl auch die etwas aggressiven Antworten. Jagusch ist schrott - das ist kein großes Geheimnis. Nicht nur die 5 Mailer die du rausgesucht hast, sondern alle. Vor dem Hintergrund habe ich dein "ich würden den Usern raten sich abzumelden" als Konkurrenz-motiviert aufgefasst....

Ich kenne mich im Paid-Sektor kaum aus; wenn alle Welt es da dank der geringen Gewinnmargen gewohnt ist, mit verbuggten Scripten zu arbeiten und diesen Umstand so lange wie möglich zu zu ignorieren, werde ich das nicht ändern können.

Du unterstellst da mehr Boshaftigkeit als vorhanden ist. Ich denke, das ganze ist ein Selbstläufer... meine Vermutung ist:

Würde man einen Mailer in schönem Code schreiben (das muss jetzt nicht unbedingt RoR/pgSQL sein, OO PHP5 + InnoDB ist ja auch okay) lässt der sich später nur von Leuten warten die halbwegs kompetent sind.

Solche Leute als Freiberufler kosten Geld, und das nicht zu knapp - der Arbeitsaufwand reicht aber nicht aus, um jemanden fest anzustellen.

Insofern funktioniert das ganze wirklich nur, wenn du dir Code mit einer Komplexität kaufst, welche es später erlaubt Änderungen von Leuten durchführen zu lassen welche für 50c die Stunde arbeiten (ja, solche Leute findet man. kA wie es hier aussieht, aber für was die leute z.B. bei ebesucher.de sich verkaufen ist erschreckend).

Ob es sich wirklich nicht auszahlen würde, einige wenige sauber programmierte und einwandfreie Mailer zu haben anstatt eine unüberschaubare Anzahl auf dem selben Script basierender Klone, kann und will ich nicht beurteilen.

Den Usern kann die Qualität der Skripte ja letztendlich weitgehend egal sein. Die Grenze wird nunmal da gezogen, wo Sicherheitsprobleme Einwirkungen auf die User haben.

 

[ewin12000]

@ewin,nebel: Ihr seht das leider zu harmlos.

Kalkulation... der Aufwand für den Angreifer ist zu hoch um einen ernsthaften Nutzen daraus zu ziehen.
Jeder Account kann von Markus und auch von mir wiederhergestellt werden.
Selbst Accounts die vor Monaten gelöscht wurden. Das können dir einige unserer User bestätigen, die versehentlich Ihre Account gelöscht oder eben eine aktive eigene Löschung bereut haben.

Wie Felix ja bereits gesagt hat es ist eine reine Kalkulationsache. Das Risiko sehr gering, der Aufwand für das beheben aller Schwachstellen sehr kostenintensiv .
Fakt ist, Ihr sorgt dafür ob es einem Paid4anbieter möglich ist solche Kosten zu tragen oder eben nicht und die meisten von euch sehen es eben nicht ein, das jemand Geld in ein besseres Script investiert und eben nicht in die Payrate.

Tobias zu dem Vergleich von mir mit der Bank, auch eine Bank kann nicht verhindern, das du dir deine Daten stehlen läßt indem du einen falschen Link öffnest oder dir einen Virus runterlädst ect..

Wer Javascript deaktiviert hat, ist vor vielen XSS-Angriffen geschützt, denn dann kann zwar beliebiger zusätzlicher Text angezeigt werden, aber es können persönlichen Daten ausgelesen und an den Angreiferserver gesendet werden.
Wer eine aktuelle Version der Firefox-Erweiterung noscript verwendet, ist vor vielen XSS-Angriffen geschützt, da diese automatisch erkannt werden.

Fakt ist auch, bei dieser Methode werden ja nicht die Paid4dienste direkt angegriffen, sondern Ihr, auf euren PC`s und wie im ersten Beitrag steht könntet Ihr das verhindern ohne das irgendwelche Kosten entstehen.

Vor dem Hintergrund habe ich dein "ich würden den Usern raten sich abzumelden" als Konkurrenz-motiviert aufgefasst....

Das fasse ich immer noch so auf, denn kein Mensch kommt auf die Idee, mit einem so erheblichen Aufwand, Paid4dienste zu testen. Aus welchen Grund auch.

 

[tobias1985]

Kalkulation... der Aufwand für den Angreifer ist zu hoch um einen ernsthaften Nutzen daraus zu ziehen.

Aufwand? Max. 1 Stunde um das durchzuziehen.

Jeder Account kann von Markus und auch von mir wiederhergestellt werden.

Großes Lob in Sachen Backups.

...der Aufwand für das beheben aller Schwachstellen sehr kostenintensiv.

Wenn jemand so nett ist und einen auf eine solche Schwachstelle hinweist, dauert es keine 5 Minuten, um diese Schwachstelle zu beseitigen. Wenn du nun wirklich das Script komplett testen und sicher haben willst, ja da stimme ich dir zu, das kostet etwas. Deswegen frage ich mich immer wieder, warum man auf solche Schrottscripte setzt. Überleg mal wieviel du bereits in dein Script mit den Umbauten etc. investiert hast. Für das Geld, hättest du dir vermutlich fast ein eigenes programmieren lassen können. Das Beheben der dann bestehenden Sicherheitslücken, ist Aufgabe des Programmierers ohne weitere Kosten. Schließlich hat er diese zu Verschulden.

Tobias zu dem Vergleich von mir mit der Bank, auch eine Bank kann nicht verhindern, das du dir deine Daten stehlen läßt indem du einen falschen Link öffnest oder dir einen Virus runterlädst ect..

XSS-Lücken und andere Schwachstellen, die von Seiten der Banken behoben werden können, werden auch behoben. Dass die Bank oder in eurem Fall die Paid4-Betreiber nichts gegen Viren oder Fakeseiten tun können, ist klar. Irgendwann sind nunmal Grenzen gesetzt.

Fakt ist auch, bei dieser Methode werden ja nicht die Paid4dienste direkt angegriffen, sondern Ihr, auf euren PC`s und wie im ersten Beitrag steht könntet Ihr das verhindern ohne das irgendwelche Kosten entstehen.

Deaktiviertes JavaScript in Zeiten von "Web 2.0" ist realitätsfern.

...denn kein Mensch kommt auf die Idee, mit einem so erheblichen Aufwand, Paid4dienste zu testen. Aus welchen Grund auch.

Gründe gibt es genug. Der Aufwand die Seiten darauf zu testen, ist nicht so hoch wie du glaubst. Wenn du dich als Programmierer etwas auskennst und tolle GET-Variablen entdeckst, kannst du diverse Dinge innerhalb weniger Minuten austesten.

Allerdings muss ich nochwas anderes sagen. Dass der Threadersteller euch angeschrieben hat, ist soweit super. Allerdings finde ich, liegt es dann in der Hand der Betreiber etwas zu tun oder eben sein zu lassen. Ein solcher Thread bringt andere nur auf dumme Gedanken. Wenn Ewin oder Markus eben für sich entschieden hatten, nichts zu unternehmen, sollte man dies akzeptieren. Man kann immer nur darauf hinweisen. Die letzte Entscheidung liegt dann immer beim Betreiber.

 

[ewin12000]

Wenn jemand so nett ist und einen auf eine solche Schwachstelle hinweist, dauert es keine 5 Minuten, um diese Schwachstelle zu beseitigen.

Und genau hier setze ich noch einmal ein . Es ist keine Schwachstelle im Sinne der Progger hat nen Fehler gemacht und ich habe den zufällig entdeckt.

Hier mußte mit erheblichen Aufwand getestet werden, was möglich ist und aus welchen Grund macht man das?
Zweiter Punkt
Warum jemand darauf hinweist, kann einen ganz anderen Grund haben. Es wurde bei mehreren Mailern versucht (ich möchte dem Threadersteller nichts unterstellen) bei einem Mailer wurde man erwischt und den Server über den es lief hat der Paid4betreiber sperren lassen.
Denk mal weiter.
Kann Zufall sein das es in etwa zeitnah ähnliche weniger erfolgreiche Versuche gab, aber an soviel Zufall glaube ich nicht. Wenn er es war, kann er ja sicher dazu was sagen und wenn er es nicht war, entschuldige ich mich schon mal im voraus.

 

[LasMiranda]

...Es ist keine Schwachstelle im Sinne der Progger hat nen Fehler gemacht und ich habe den zufällig entdeckt...

Das ist so! Aber scheinbar verstehen hier einige noch nicht mal das Problem und versuchen es schönzureden/zu verharmlosen.

 

[chillervalley]

Vergiß es und lass es nach hier Panik zu machen.
..........

Und wenn es nur über Umwege geht und das ein User erst einen bestimmten gebauten Link klicken muß, dann ist der User absolut selbver schuld, wenn er Dieses tut.

Also, lass die Panikmache, das tut keinem gut, auch wenn du dich für besonders Allwissend hältst.

Hmm... Wenn ich sowas schon lese.

Schlimm genug ist, dass sich ein großer Anteil an Webseitenbetreibern mit "normalen" seiten (Bei denen es nicht um geld geht) komplett gar nicht auskennen; Sich komplett gar nicht Informieren; Und es auch nichtmal tun wenn man sie darauf HINWEIST. Dass aber auch Webmaster von solchen Diensten so denken halte ich für grob Fahrlässig und unverantwortlich.

Solchen Betreibern sollte genauso die "Webseitenlizenz" entzogen werden wie einem Autofahrer der Führerschein wenn er stockbesoffen fährt.

Zudem hoffe ich an all diejenigen Webmaster die sich um die sicherheit keine gedanken machen (so wie schonmal einige hier im thread), dass sie damit mal gehörig einfahren. (Was wiederum den einfachem user schaden zufügen würde - was ich den usern aber nicht wünsche).

Aber naja, in den wenigsten fällen wird das passieren. aber hoffen kann man ja mal.

Und genau hier setze ich noch einmal ein . Es ist keine Schwachstelle im Sinne der Progger hat nen Fehler gemacht und ich habe den zufällig entdeckt.

Ähm, Doch es ist eine Schwachstelle in dem Sinne, dass der Programmierer sich mit der Materie komplett gar nicht auskennt (da sowas wirklich keine 10 minuten dauert um es unschädlich zu machen).
Zusammenfassend: Das ist eine Schwachstelle deren Ursache Fehlerhafter Code ist. (= Schlecht Programmiert; Programmierer weiß nicht wirklich was er tut, oder es interessiert ihn nicht.)

Hier mußte mit erheblichen Aufwand getestet werden.....

hm? XSS ? aufwand? Entschuldigung, aber der Aufwand mich dazu zu bewegen nachts um halb 3 aufzustehen weil ich Durchfall habe, mich übergeben muss UND in nem SAU teurem Bett schlafe ist wohl größer als ne website auf grundlegende XSS schwachstellen zu prüfen.

 

[NebelvonAvalon]

Das ist so! Aber scheinbar verstehen hier einige noch nicht mal das Problem und versuchen es schönzureden/zu verharmlosen.

Naja ich seh das so das hier einige versuchen sich wichtig zu machen aber nur zu wers brauch.

Die angesprochene Sicherheitslücke ist lang geschlossen was aber absolut nichts ändert.

 

[chillervalley]

Naja ich seh das so das hier einige versuchen sich wichtig zu machen aber nur zu wers brauch.

Die angesprochene Sicherheitslücke ist lang geschlossen was aber absolut nichts ändert.

Wichtig machen kann man sich mit anderen sachen wohl besser.


Dass sie komplett geschlossen ist, wage ich zu bezweifeln (Ich hab es nicht getestet, aber allein deine aussage hier lässt mich das schon vermuten).

Geändert hat sich schon was: - Es wurde Fehlerhafter Code entbuggt. - Die sicherheit hat sich erhöht.

 

[NebelvonAvalon]

Wichtig machen kann man sich mit anderen sachen wohl besser.


Dass sie komplett geschlossen ist, wage ich zu bezweifeln (Ich hab es nicht getestet, aber allein deine aussage hier lässt mich das schon vermuten).

Geändert hat sich schon was: - Es wurde Fehlerhafter Code entbuggt. - Die sicherheit hat sich erhöht.

Nun ja da ich der Betreiber von Reading4Money bin und ich dafür Verantwortlich bin kannst du quasi zweifeln wie du willst.

Da können sich auch noch so viele hier im Thread aufplustern, denn die Entscheidung liegt bei mir.

Und wenn die Daten meiner User wirklich in Ernsthafter Gefahr wären, würde ich auch reagieren. Allerdings weiss ich was mich der Aufwand kostet und das steht in keinster Weise im Verhältnis.

Damit is das Thema auch durch für mich hier.

Also regt euch mal weiter auf und klopft auf den Busch.

 

[ewin12000]

Ähm, Doch es ist eine Schwachstelle in dem Sinne, dass der Programmierer sich mit der Materie komplett gar nicht auskennt (da sowas wirklich keine 10 minuten dauert um es unschädlich zu machen).

Nein die Schwachstelle liegt bei dir zu Hause bzw. bei dem der diesen Link klickt und genau diese Schwachstelle kann man nicht beheben.

Also klickt diese manipulierten Links nicht und euch passiert. Naja selbst wenn Ihr die Links klickt, ist auch egal,die Wahrscheinlichkeit das Ihr zeitgleich eingeloggt seit ist fast Null und die erreichbaren Daten sind sowas von nutzlos,man könnte Sie einfacher bekommen ohne sich strafbar zu machen.

 

[chillervalley]

Und wenn die Daten meiner User wirklich in Ernsthafter Gefahr wären, würde ich auch reagieren. Allerdings weiss ich was mich der Aufwand kostet und das steht in keinster Weise im Verhältnis.

Was das kostet? Wenn der Programmierer immer ne volle stunde berechnet kostets einen Stundenlohn.

Nein die Schwachstelle liegt bei dir zu Hause bzw. bei dem der diesen Link klickt und genau diese Schwachstelle kann man nicht beheben.

Totaler Unfug. Du wälzt hier die Verantwortung allein auf dem User ab. Auch wenn ein User auf so einen link klickt (Paidbanner ....) sollte das System dennoch gut genug programmiert sein dass nichts passiert.

Wer ein Paid4system so coded, dass es durch einfachstes XSS angreifbar ist sollte sich nicht "Programmierer" nennen. Jemand der sowas Coded (und nichtmal nach bekanntwerden fixt und es als "keine bedrohung" abtut) ist einfach kein Programmierer, sondern sucht sich den code irgendwie zusammen. Amateurhaft, Fahrlässig, einfach Inkompetent ist sowas zu nennen.


NebelVonAvalon: Du solltest dich mal Informieren was man mit XSS machen kann - Die daten deiner user sind gefährdet.

ewin12000: Ich denke du hast die ganze geschichte nicht verstanden. Informiere dich bzw. lass dir das alles nochmal von wem erklären der sich auskennt (Und nein, nicht irgendein Scriptkiddy aus dem klammforum der dir das für 12k lose sagt (Womit sicherlich nicht jeder "Programmierer" hier gemeint ist!))

 

[LasMiranda]

Es wird glaube mit sowas verwechselt:
www.google.de

 

[ewin12000]

ewin12000: Ich denke du hast die ganze geschichte nicht verstanden. Informiere dich bzw. lass dir das alles nochmal von wem erklären der sich auskennt (Und nein, nicht irgendein Scriptkiddy aus dem klammforum der dir das für 12k lose sagt (Womit sicherlich nicht jeder "Programmierer" hier gemeint ist!))

Ok erkläre mal was passieren kann....Und was du damit so alles machen kannst und zwar mit genau den Daten die du evt. auslesen könntest von meinem Server bzw. aus meinem Account

Totaler Unfug. Du wälzt hier die Verantwortung allein auf dem User ab.

Nein genau das mache ich nicht, der Threadersteller und auch du behaupten es liegt ausschlieslich am Betreiber, aber fakt ist, wenn du den Link nicht klickst bzw. einfach nur noscript verwendest kann der Angreifer gar nichts auslesen. (Clientseitig - also auf deinem Rechner)

 

[NebelvonAvalon]

Was das kostet? Wenn der Programmierer immer ne volle stunde berechnet kostets einen Stundenlohn.

Wenn du in ner Std 40-50k Zeilen Code durchschauen kannst, dann kannst du das gerne bei mir machen und ich zahl dir die volle Std und ne Currywurst Rot-Weiss.

 

[Talion]

Also klickt diese manipulierten Links nicht und euch passiert. Naja selbst wenn Ihr die Links klickt, ist auch egal,die Wahrscheinlichkeit das Ihr zeitgleich eingeloggt seit ist fast Null

Nein genau das mache ich nicht, der Threadersteller und auch du behaupten es liegt ausschlieslich am Betreiber, aber fakt ist, wenn du den Link nicht klickst bzw. einfach nur noscript verwendest kann der Angreifer gar nichts auslesen. (Clientseitig - also auf deinem Rechner)

Die Ursache dafür, dass clientseitig betrogen werden kann, liegt (lag) aber auf der Serverseite, und dafür ist nunmal der Betreiber zuständig! Daran gibt es nichts zu rütteln. Und die manipulierten Links müssen nicht aktiv geklickt werden, sondern können sehr leicht untergeschoben werden, also ist keinem User ein Vorwurf zu machen, der darauf klickt. Das ist ein bißchen was anderes als eine schlechtgemachte Phishingmail.
Und ob die Wahrscheinlichkeit wirklich so gering ist, würde ich bezweifeln. Man könnte nicht in kurzer Zeit viele User erreichen, aber einige sicherlich.
Was die Daten wert sind oder nicht wurde schon zur Genüge diskutiert und ändert nichts an der grundsätzlichen Kritik, bekannte Sicherheitslücken bestehen zu lassen. Sicherheitslücken beinhalten nunmal nicht nur den Faktor "Datenklau erfolgreich oder nicht" sondern immer und jederzeit auch den Faktor Vertrauen und Seriösität.

Hier mußte mit erheblichen Aufwand getestet werden, was möglich ist und aus welchen Grund macht man das?
Zweiter Punkt
Warum jemand darauf hinweist, kann einen ganz anderen Grund haben. Es wurde bei mehreren Mailern versucht (ich möchte dem Threadersteller nichts unterstellen) bei einem Mailer wurde man erwischt und den Server über den es lief hat der Paid4betreiber sperren lassen.
Denk mal weiter.
Kann Zufall sein das es in etwa zeitnah ähnliche weniger erfolgreiche Versuche gab, aber an soviel Zufall glaube ich nicht. Wenn er es war, kann er ja sicher dazu was sagen und wenn er es nicht war, entschuldige ich mich schon mal im voraus.

1. Zu den mehreren zeitnahen Versuchen auf verschiedenen Websites:
Google verrät einem leicht, welche Seiten das selbe Script verwenden. Es ist naheliegend, die Lücke dann auch auf anderen Seiten zu finden. Dazu gibt es sogar einen Thread in der Modsprechstunde. Und der Aufwand dafür war sehr begrenzt. Ich habe bei reading4money beim Loginformular angefangen, war auf Anhieb erfolgreich, hab dann das 6-zeilige Javascript geschrieben, und danach nur noch ein und das selbe Script mit immer den selben Linkparametern auf ein paar anderen Seiten ausprobiert. Die Angriffe im eingeloggten Zustand hab ich ausschließlich bei reading4money getestet, und war ebenfalls wieder im ersten Versuch erfolgreich, also auch kein Zeitaufwand.
2. Vom ersten Versuch an habe ich bei den Angriffen meine Kontaktdaten hinterlassen, wie du in den Logdateien bzw. bei Ansehen des verwendeten Javascripts feststellen wirst. Ich kann dir auch gerne eine Liste der getesteten Seiten geben (bzw. kannst du dir auch selbst raussuchen, einmal aus diesem Thread und ansonsten über den oben genannten Googlelink). Dann können die betroffenen Webmaster ihre Logfiles vergleichen und werden feststellen, dass sie überall weitgehend identisch sind und von Anfang an auf einen Demoangriff hinzielten, inklusive dabei hinterlassener Kontaktdaten.
3. Die Konkurrenzvorwürfe sind definitiv Unsinn, klamm ist die einzige paid-Seite auf der ich noch aktiv war. Dass ich bei reading4money begonnen habe, lag daran, dass ich da früher mal angemeldet war (übrigens auch Auszahlungen erhalte habe) und es eben der erste Name war, der mir einfiel.

Allerdings muss ich nochwas anderes sagen. Dass der Threadersteller euch angeschrieben hat, ist soweit super. Allerdings finde ich, liegt es dann in der Hand der Betreiber etwas zu tun oder eben sein zu lassen. Ein solcher Thread bringt andere nur auf dumme Gedanken. Wenn Ewin oder Markus eben für sich entschieden hatten, nichts zu unternehmen, sollte man dies akzeptieren. Man kann immer nur darauf hinweisen. Die letzte Entscheidung liegt dann immer beim Betreiber.

Ohne den Thread wäre mit Sicherheit nichts passiert. Sie hatten eine Woche Zeit etwas zu tun, und wenn sie zu der Einschätzung gekommen sind, dass nichts zu tun ist, müssen sie auch damit leben können, wenn jemand auf dumme Gedanken kommt.
Natürlich ist das hier ein anderes Niveau als beim Onlinebanking, aber das Prinzip ist trotzdem gleich: Eine Lücke die nach Meldung nicht zügig behoben wird, wird veröffentlicht, erst recht wenn keine Reaktion kommt.

 

[chillervalley]

Wenn du in ner Std 40-50k Zeilen Code durchschauen kannst, dann kannst du das gerne bei mir machen und ich zahl dir die volle Std und ne Currywurst Rot-Weiss.

Wozu volle 50k Zeilen Code durchschauen wenn man doch weiß wobei solche fehler auftreten? (Eingaben...)