Anzeige von Xenonserver wegen erlaubtem Hack

S

Sjune

Alter Benutzer
ID: 127247
L
16 Juli 2006
14
0
Hallo Leute,
ich habe Gestern von einem Freund von mir die Seite auf Eventuelle Sicherheitslücken überprüft. Dies war mit ihm abgesprochen.
Bin dabei auch recht schnell fündig geworden nämlich eine "remote inclusion".

Logischerweise habe ich keine Daten gelöscht oder verändert denn es ist ein Freund von mir!

Ich habe allerdings ein paar (max 5) Datenbankeinträge verändert/erstellt, keine gelöscht und damit eine News in dem vorhandenem CMS erstellt, in der stand Hacked by Sjune. Darauf hin wurde die Sicehrheitslücke geschlossen.

Als ich das alles gemacht habe stellte ich zudem fest das jeder User auf alle Daten der Anderen User zugreifen kann. Sprich die Ordner:
web1, web2, web3 waren von jedem User zugänglich, indem man einfach wenn man selber User web1 ist mit "../web2" darauf zugreifen kann.

Im ersten moment war ich natürlich sehr überrascht unb neugierig und habe mir einige Inhalte angesehen verändern könnte ich nix da ich auch über diese "remote inclusion" gar keine Schreibrechte habe. Zu guter letzen habe ich dann in einerm Odern Webxxx noch einen eintrag in der Datenbank gemacht. Das war allerdings ein ganz anderer User dessen Seite ich überprüft habe.
Ich habe dort auch keinerlei Schade angerichtet sondern auch nur eine News gepostet und hinterher per ICQ über das Risiko mit ihm gesprochen und ihm von Xenoserver abgeraten..


Nun will mich Xenonserver allerdings Anzeigen weil ich Daten verändert hätte. Habe ich nur in der Datenbank.
Meine Sicht ist die das ich alle Zugänglichen Daten dir für den User Webxx Freigegeben waren nur benutzt habe und das ist nach ihrer AGB auch zulässig.

Ich würde mich freuen wenn ihr mir da mal eure Meinungen zu Schreiben würdet.

Des weiteren Rate ich euch hiermit jegliche Angebote bei Xenoserver (https://www.xenonserver.de) nochmal zu überdenken. Da in dem jetzigen Zustand jeder User auf alle Dateien von allen anderen User zugreifen können (Sprich DB Passwörper Admin Passwörter etc...).

Gruß

Sjune
 
Meine Meinung: Du hast eine Straftat begangen.

Meine Meinung: Da wird aber nichts wildes passieren.

Marty
 
Hm ich verstehe nicht so ganz wieso ich das getan haben soll. Denn es war doch mit dem User abgemacht und ich habe nur Daten die man von dem User aus Ansehen konnte Angesehen.

Und in den AGB geht nicht genau hervor welche Verzeichnisse der User überhaupt benutzten darf. Somit also alle die ihm Freigegeben worden sind.
Sonst könnte der Hoster ja schließlich auch sagen er Zeigt seine User an weil sie auf den ihnen zugeteilten Webspace Dateinhochgeladen haben.
 
Du hast ganz klar eine Straftat begangen, du hast zwar mit dem User abgesprochen was du machst, aber sollte nicht der Hoster da zustimmen und nicht ein Kunde? :roll:
Auch gerade, dass du Einträge von anderen Benutzern geändert hast, wird diesen Anbieter nicht in Ruhe lassen.
 
Natürlich ist es bestimmt spannend zu schauen, wie weit man in das System reinkommt.
Allerdings ist meiner Meinung nach der Hoster zuständig die Genehmigung auszustellen, Security-Audits o.ä. durchzuführen. Meiner Meinung nach macht es aber auch einen Unterschied, ob man nun PHP-Scripte des Kunden testet (= meiner Meinung nach erlaubt), oder die "Sicherheit des Servers"*.
Sobald aber nun ein PHP-Script einen Bug hat, mit dem die "Sicherheit des Servers" überprüft werden kann (z.B. open_basedir o.ä.), sollte man die Genehmigung des Hosters einholen, daran rumzuprobieren.
Dann ist es aber auch wieder ein Unterschied, ob man nur eine Überprüfung startet (z.B. is_dir('../webxx')), mit der keine Inhalte zurückgeliefert werden, oder dort eine Datei liest - oder schlimmer noch schreibt.

Das ganze ist aber nur meine ethische Version :)

*in diesem Fall sicherheitsrelevante Einstellungen von PHP
 
Ich meine auch, es war das Skript des Kundens, also ist das Sache des Kundens.

Aber mit dem weiteren ../web2 "Hack" hast du dich meiner Meinung schon weit aus dem Fenster gelehnt. Jemand hacken zu lassen würde für mich bedeuten, jemanden zu vertrauen, das er auch nur das macht. Und als solche Person sollte man in der Lage sein, die Neugier allgemein zu zügeln, insbesonders wenn man ahnen kann, das diese oder jene vorgehensweise nicht gern gesehen wird.

Ganz genau wird das sicher erst ein Anwalt sagen können.
 
woher weißt du das die dich anzeigen wollen und woher haben die deine daten? :-/
aber ist eh wurscht... strafrechtlich wird da eh nix passieren und zivielrechtlich wird da auch nix passieren.

ausserdem ist in meinen augen auch schonmal fragwürdig in welcher weiße xenonserver geschädigt wurde. der geschädigte ist in meinen augen eindeutig der betreiber der "gehackten" website, und nicht xenonserver.
 
ZeroCCC schrieb:
woher weißt du das die dich anzeigen wollen und woher haben die deine daten? :-/
aber ist eh wurscht... strafrechtlich wird da eh nix passieren und zivielrechtlich wird da auch nix passieren.
Zum Vergrößern anklicken....

Nun ich weis nicht wie du dir da so Sicher seien kannst. Obwohl ich dir ja eigendlich Zustimme. Meine Daten haben Sie weil ich eben remote inclusion benutzt habe und scripte von meinr Homepage benutzt habe ;)
Da ich davon ausging nichts schlimmes zu tun sondern nur das Problem genau beschreiben zu können.

ZeroCCC schrieb:
ausserdem ist in meinen augen auch schonmal fragwürdig in welcher weiße xenonserver geschädigt wurde. der geschädigte ist in meinen augen eindeutig der betreiber der "gehackten" website, und nicht xenonserver.
Zum Vergrößern anklicken....

Das sehe ich allerdings auch so da es doch an dem Kundem obliegt mich Anzuzeigen oder nicht der Hoster hat damit eigendlich nichts zu tun. Ausser das eben User Web1 auch auf Daten von Web2 zugreifen kann. Das ist meinermeinung nach eine grobe Fahrlässigkeit des Hosters.
 
ähm... warum muss dadurch zwingend ein schaden entstanden sein?

So weit ich weiss zählt hacken seit dem 11. Sept. 2001 zu den Taten, die man unter anderem dem Terrorismus zuschreiben kann. Jedenfalls habe ich da mal etwas gehört.

Wenn du irgendwelche Ingenieurbüros hackst, um an Baupläne zu kommen, dann ist dadurch nicht zwingend ein Schaden entstanden, diese Pläne könnten aber für einen Terrorakt genutzt werden, und somit ist die Beschaffung bzw. der Hack auch mit diesem zu verbinden.

Inwiefern das jetzt generell gilt, kann ich nicht sagen, ich habe nur damals gehört, dass über so etwas gesprochen wurde. :roll:
 
Damit hast du nicht unrecht das Ansehen der Daten ist nicht erlaubt.
Trotzdem obliegt es doch dem Opfer sprich der, der gehackt wurde mich anzuzeigen und nicht dem Hoster?!
 
Dem Opfer das merkt doch gar nix, sry, aber du stellst das alles ein bisschen naiv hin.
Der Webhoster hat seinen Server und da achtet er natürlich auch auf die Sicherheit (was vllt da nicht so dolle war), und wenn du da meinst nun rumhacken zu müssen, kann dich der Serverbetreiber natürlich verklagen, er ist ja das Opfer, ihm gehört ja der Server, das du noch jemanden schadest, einem Kunden, hat nur deine Chance mit blauem Auge wegzukommen verringert (ka, wieviel die nachher wirklich machen).
Und alleine das Hacken des Servers ist schon eine Straftat, man muss ja nicht immer etwas dabei kaputtmachen, was dann auch kein Hacken sondern Cracken wäre.
 
Also mit dem "opfer" war das ja abgesprochen das ich dem seine Seite überprüfen solle. Zumal habe ich doch nur Daten von Kunden Ausgelesen =/ Ich bin mal gespannt wie das weiter abläuft...
 
Sjune schrieb:
Also mit dem "opfer" war das ja abgesprochen das ich dem seine Seite überprüfen solle. Zumal habe ich doch nur Daten von Kunden Ausgelesen =/ Ich bin mal gespannt wie das weiter abläuft...
Zum Vergrößern anklicken....
Nur auslesen reicht aber für die Strafbarkeit, du hast Daten von fremden Kunden ausgelesen, mitdem du das aber garantiert nicht abgesprochen hast, siehe:
Sjune schrieb:
Als ich das alles gemacht habe stellte ich zudem fest das jeder User auf alle Daten der Anderen User zugreifen kann. Sprich die Ordner:
web1, web2, web3 waren von jedem User zugänglich, indem man einfach wenn man selber User web1 ist mit "../web2" darauf zugreifen kann.
Zum Vergrößern anklicken....
 
Ja ok da mag wirklich was dran sein, aber dan liegt es doch in der Hand der User und nicht der des Hosters.
Und was mich noch ein wenig beschäftigt ist, dass in den AGB keine angaben darüber gemacht werden welche Dateien der Kunde Bearbeiten Darf und wo er Dateien anlegen darf. Folglich auf dem ihm freigegeben Dateien. Und genau dort wurde ja gearbeitet.
 
Das man von web1 nicht auf web2 darf ist eine Sache, womit nicht der Kunde, sondern der Hoster zu tun hat, somit bist du das "Sicherheitssystem" des Hosters umgangen. So wäre mein Gedanke.
Man darf als Kunde alle Daten lesen und schreiben, die nach gesunden Menschenverstand für ihn bestimmt sind.
 
@siyune: sag mal würdest gegen lose auch mal meinen server checken ?(ist mein server, also kein angst, mein provider wird nix sagen), da ich allein dafür verantwortlich bin.
 
ich würde sagen du hast gegen sog. "treu und glauben" verstoßen.
Ein 0815 User umgeht nicht das Sicherheitssystem und greift auf Ordner zu, die nicht für ihn bestimmt sind. :roll:
 
Sagmal Sjune bist du so naiv oder willst du es nicht sehen?
Der ebenso betroffene Kunde kann dich natürlich auch verklagen, aber du hast erstmal den Server gehackt, der der Firma Xenoblabla gehört, von daher dürfen die dich ganz klar verklagen. Und wenn du von einem Kunden den Auftrag bekommst seinen Teil zu prüfen, sollst du nicht den ganzen Server prüfen und vor allem nicht fremde Daten lesen o. verändern, das ist und bleibt illegal. Egal wie du es auslegst, es war NICHT rechtmäßig, auch keine Grauzone.
 
Liebe Leute,

es geht hier nicht darum, dass irgendjemand irgendwen verklagt. Das geht hier nicht.

Es geht hier um eine simple Strafanzeige. Und die könnte jetzt sogar ich bei der Polizei stellen, weil ich von dem Fall jetzt weiß.

Marty
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben