Kritik an (Daten-)Sicherheit von klamm.de

raven

Well-known member
20 April 2006
5.038
540
Ich eröffne diesen Thread wohlüberlegt, weil ich euch auf einige Dinge bezüglich klamm.de ansprechen möchte, die mich schon länger beschäftigen.
Ich prüfe Software gelegentlich (oft aus Langeweile *g*) auf Sicherheitslücken, Bugs, die wirklich gefährlich sein könnten, um diese zu melden, damit diese nicht mehr ausgenutzt werden können. (kleine Information am Rande, leider wird dies immer wieder vergessen: Hacker melden Bugs, Cracker nutzen diese aus - bitte merken ... :roll:)
Lange hab ich klamm dabei außer Acht gelassen, weil ich bei einer Community mit bald 300.000 Mitgliedern nicht wirklich an so schwerwiegende Bugs geglaubt hab, leider war das absolute Gegenteil der Fall.

Mittlerweile habe ich bereits (wie so oft, mit netter Hilfe von bartman ;)) zwei äußerst kritische Bugs gefunden (und umgehend gemeldet), mit beiden war es möglich, eine Liste sämtlicher IDs und Passwörter hier auf klamm zu erstellen. Das ganze war nichtmal auf klamm-Accounts beschränkt, EF-Accounts waren auch betroffen. Als ob das noch nicht genug wäre - sämtliche Namen bzw. Anschriften, Kontostände auf klamm und weitere Informationen, welche sich in der DB befinden, wären mit ein wenig Ratearbeit und Kreativität auch auslesbar gewesen. Ich habe (selbstverständlich) keine Accounts außer dem meinigen ausgelesen, ich denke, das sollte klar sein - denn ich will hier niemandem irgendwas böses. Natürlich auch nur Informationen, die ich selber offen einsehen kann und die für mich bestimmt sind, um das nochmal zu verdeutlichen, ich habe mir also nichts vorzuwerfen.

Meiner eigenen Meinung nach ist die Wahrscheinlichkeit, dass es weitere solcher Bugs gibt, hoch. Das ist jedoch meine subjektive Einschätzung, aufgrund einiger Fakten, die ich bisher weiß - Beweise für noch mehr Bugs habe ich (noch) nicht. Einen weiteren potentiellen Risikokandidaten habe ich bereits gefunden, muss diesen aber zunächst weiter untersuchen, um genaue Aussagen darüber Treffen zu können, ob auch hier ein Angriff möglich wäre.

Was mich nun noch weiter schockiert hat war, dass der Bug und vor allem dessen Gefährlichkeit noch nicht erkannt wurde, als ich ihn praktisch schon komplett offenbart hatte. Damit mir geglaubt wurde, dass hier Haus und Hof offenstehen, musste ich erstmal mein eigenes PW genau auslesen und anzeigen lassen ... :roll:

Ich möchte hiermit also mal offen Beschwerde darüber ablegen, nein, ich bin sogar empört darüber, wie offen hier manche Daten zu liegen scheinen. Hätte ein Angreifer / Cracker (also jemand, mit bösartigen Absichten) gesucht, bin ich mir fast sicher, dass er diese Bugs auch gefunden hätte. Den ersten Bug habe ich nämlich (zugegeben, mehr oder weniger mit Glück) in weniger als einer halben Stunde gefunden.
Dieser Angreifer hätte dann ohne Schwierigkeiten die Möglichkeit gehabt, rund 238.000 Datensätze zu stehlen - vielleicht auch die Adressen zu verkaufen oder die Passwörter zu missbrauchen.

Ich bitte daher darum, dass sich der Verantwortliche ( / die Verantwortlichen?) das ganze hier mal gründlich durch den Kopf gehen lassen, denn so kann es denke ich nicht weitergehen.


mfg
raven
 
Und was erhoffst Du Dir nun von diesem Posting außer geschäftsschädigung? :roll:

Auf Deine Hinweise hin bin ich selbstverständlich auf Suche gegangen und habe die betroffenen Stellen, welche ich gefunden habe, gefixt. Ich mache das ja nicht absichtlich ... aber eine Klammer oder sonstwas kann jeder mal vergessen.
 
Lukas, ich möchte hier wirklich niemanden schädigen, ich dachte, das hätte ich deutlich genug gesagt, dazu habe ich auch gar keinen Grund. Ich möchte einfach nur darauf aufmerksam machen, nicht mehr, aber auch nicht weniger. Und das ganze habe ich denke ich sachlich genug gesagt ... ;)

Vielleicht finden sich so weitere eifrige Bugsucher?

edit:
Ja, eine Klammer kann man mal vergessen. Aber ich finde doch, das Thema ist es wert, hier angesprochen zu werden, denn es ist meiner Meinung nach doch sehr wichtig, und wenn es gleich im Doppelpack passiert, dann ist das für mich doch ein potentielles Risiko, dass das nochmal passiert.

@Phil: Ja, falls das nicht richtig rausgekommen ist - Lukas hat die Fehler umgehend behoben. Aber bei solchen Fehlern möchte ich das nicht für mich behalten, dazu sind die zu schwerwiegend.
 
Zuletzt bearbeitet:
Nunja Luke, als Geschaeftsschaedigung wuerde ich sowas nicht sehen. Ich seh ein, dass so ein Fehler mal passieren kann, aber gerade deine Aussage "eine Klammer kann immer mal fehlen" macht mir wirklich Sorgen. Es sollte Mechanismen geben, mit denen es garnicht erst zu solchen Problemen kommen kann. Vorallem, da SQL-Injections sich leicht verhindern lassen...

Vielleicht solltest du Klamm mal auf Herz und Nieren checken, ob sowas noch an anderen Stellen moeglich ist. Ich kann mir nichts - diesmal wirklich - geschaeftsschaedigerendes Vorstellen, als einen Cracker der sich mit saemtlichen Useraccounts einen Spass macht...
 
Ich meine nur dass objektiv gesehen solch ein Thread *nichts* bringt, denn ich werde mich aufgrud dessen nicht anders verhalten. Es bringt nur, dass

a) Unmut/Panik unter den Usern verbreitet wird
b) Hacker darauf aufmerksam werden ("och ich versuchs auch mal")

Ich bin ja dankbar, wenn ihr mir solche Lücken aufzeigt.
Jede Software hat diese ... und ich werde sie immer sofort schliessen.
Aber ich finde es ist sinnvoller wenn wir das unter uns klären.
 
Security by obscurity?

Und gut zu wissen, dass erst was passieren muss, bevor du taetig wirst.. :roll:
 
Na ja ich denke es ist sicherlich nicht schlecht sich mal Gedanken zu machen, wie mit Daten umgegangen werden kann oder umgegangen wird - vor allem im Internet und welche Daten man von sich (alleine im Hinblick auf den/die Betreiber) preisgeben sollte. Und Sicherheitslücken gibt's bestimmt auf der ein oder anderen Seite, aber bei einer solchen Seiten sollte man sich doch mal ernsthafte Gedanken drüber machen; vor allem bei solch sensiblen Daten (Name, Adresse).. zusätzlich auch einfach mal wieder auf Userseite die Sinne schärfen.
 
Security by obscurity?
Und gut zu wissen, dass erst was passieren muss, bevor du taetig wirst.. :roll:
hab ich das gesagt? :roll:
ich hab nur gesagt dass ich WENN ich was gemeldet bekomme, das SOFORT fixe. und ich schaue immer mal wieder über den code aber es gibt eben stellen, da übersieht man was und ist dann dankbar, wenn einen jemand drauf aufmerksam macht, OHNE das auszunutzen. und solch ein thread kommt meines erachtens gleich nach einem öffentlichen "ich habe auf loseseite X folgenden bug entdeckt .. wenn man das und das tut, kann man das und das machen" ...
 
@happymaster: Eben ... Was passiert, wenn die Daten zu irgendwelchen "bösen" Leuten kommen? Natürlich kann das nie ausgeschlossen werden, aber wie das oben dargestellt wird, grenzt das meiner Meinung nach schon an grobe Fahrlässigkeit.
 
Also ich finde, dass hier zu viel Wind gemacht wird.

Kein Mensch, der seine persönlichen Daten einem Anmeldeformular einer Internetseite anvertraut, kann sich sicher sein, dass seine Daten dort auch vor allem geschützt sind.

Ich meine damit nicht, dass man davon ausgehen muss, dass Webseiten Fehler haben - nein, man muss immer davon ausgehen, dass Webseiten Hackerangriffen erliegen.

Und wenn die gefundenen Bugs hier sofort bereinigt wurden, dann bestärkt mich das nur in meiner Meinung, dass es kaum einen Webmaster gibt, der so schnell und gründlich reagiert wie Lukas.
 
hab ich das gesagt? :roll:
ich hab nur gesagt dass ich WENN ich was gemeldet bekomme, das SOFORT fixe.

Ich finde schon, dass du das impliziert hast. Immerhin willst du lieber nicht oeffentlich darueber reden und siehst keine Notwendigkeit, gerade bei wiederholtem Auftreten Bugs solcher art durch nen ordentlichen Code Audit aus der Welt zu schaffen. [Vorsicht, Spekulation, aber deine Aussagen lassen darauf schliessen]

Aber auch dein Umgang mit den Passwoertern spricht nicht fuer ein gesundes Sicherheitsgefuehl - daher sehe ich das alles hier auch nicht als Panikmache, sondern als Fakten auf den Tisch legen und zum Handeln auffordern.

// edit

Du hast schon recht, Schnecke. Aber es geht ja hier nicht nur um Daten wie Emailadressen usw. sondern um weit mehr. Mit diesen Bugs haette man mit einiger Arbeit ohne Schwierigkeiten auch die EF-Account kompromittieren koennen - und wenn nicht schon bei den privaten Daten das Spiel aufhoert, dann spaetestens dort.
 
Also Leute bleibt mal auf dem Teppich

alle (ich meine ALLE) Unwägbarkeiten von vorherein auszuschließen ist fast nicht möglich oder was meint ihr warum die Virenprogger immer schneller sind als die welche Virenscanner programmieren ?
 
Mit diesen Bugs haette man mit einiger Arbeit ohne Schwierigkeiten auch die EF-Account kompromittieren koennen - und wenn nicht schon bei den privaten Daten das Spiel aufhoert, dann spaetestens dort.

Ja, aber Bug ist Bug.

Es ist ein Fehler, er ist einer Person passiert, als sie gearbeitet hat. Hast Du noch nie Fehler gemacht? Ich schon. Auch Fehler, die meinen Arbeitgeber richtig viel Geld hätten kosten können.

Aber es ist doch nichts passiert.

Ein Fehler war da, wurde gefunden und bereinigt.
Wie es jeden Tag im normalen Leben passiert.
 
Toni - das kannst du von der technischen Seite her nicht ganz vergleichen... ;)

SQL-Injections kann man definitiv global verhindern, ohne Nebenwirkungen, wenn man zum Beispiel eine Funktion wie queryf() verwendet, auf ein paar Kleinigkeiten achtet und diese auch richtig einsetzt!
Gegen Viren kann man letztendlich nichts tun, da sie sich oftmals tarnen, wie normale Programme (gibt im Grunde auch erstmal keinen Unterschied - man denke an Programme wie VNC, DriveImage, ...) . Ist die Signatur nicht bekannt, ist das Programm für den Virenscanner "clean" - ganz einfaches Prinzip. (eine Firewall lasse ich jetzt mal außen vor ;))

Ich finde es also weiterhin sehr bedenklich, dass hier soviele Datensätze offen herumgelegen haben, vielleicht sogar noch offen herumliegen. Mit solchen Daten ist nun wirklich nicht zu Spaßen.
 
SQL-Injections kann man definitiv global verhindern, ohne Nebenwirkungen, wenn man zum Beispiel eine Funktion wie queryf() verwendet, auf ein paar Kleinigkeiten achtet und diese auch richtig einsetzt!
ja ... und wenn man von den kleinigkeiten z.b. mal ein ' vergisst oder einen cast, wars das schon. da hilft auch dein queryf und sonstige sicherheits-funktionen nichts. sowas passiert. auch m$. sonst hätte ich nicht alle 2 tage ein "wichtiges sicherheitsupdate" von windows.
 
@ Raven ...

ziehe einmal nur das hoch, was Lukas Klamm hier (fast) allein hochgezogen hat. Mit all dem Umfang und all dem Service was er hier bietet. Und das ganze bitte fehlerfrei.

Wir lesen uns dann in 8-9 Jahren Arbeit die Du reinstecken wirst und musst wieder :ugly:
 
Es ist ein Fehler, er ist einer Person passiert, als sie gearbeitet hat. Hast Du noch nie Fehler gemacht? Ich schon. Auch Fehler, die meinen Arbeitgeber richtig viel Geld hätten kosten können.

Natuerlich hab ich Fehler gemacht, ich mach sie staendig. Ich wuerde Luke auch nichts ankreiden, wenn es irgendwelche normalen, nicht unbedingt vermeidbaren Fehler waeren. Aber die Bugs von denen wir sprechen sind systematische Fehler, die man durch entsprechende Verfahren nahezu komplett ausschliessen kann. Dass genau so etwas nicht gemacht wird und es auch noch als das normalste der Welt angesehen wird, find ich schlimm.