Ich eröffne diesen Thread wohlüberlegt, weil ich euch auf einige Dinge bezüglich klamm.de ansprechen möchte, die mich schon länger beschäftigen.
Ich prüfe Software gelegentlich (oft aus Langeweile *g*) auf Sicherheitslücken, Bugs, die wirklich gefährlich sein könnten, um diese zu melden, damit diese nicht mehr ausgenutzt werden können. (kleine Information am Rande, leider wird dies immer wieder vergessen: Hacker melden Bugs, Cracker nutzen diese aus - bitte merken ... )
Lange hab ich klamm dabei außer Acht gelassen, weil ich bei einer Community mit bald 300.000 Mitgliedern nicht wirklich an so schwerwiegende Bugs geglaubt hab, leider war das absolute Gegenteil der Fall.
Mittlerweile habe ich bereits (wie so oft, mit netter Hilfe von bartman ) zwei äußerst kritische Bugs gefunden (und umgehend gemeldet), mit beiden war es möglich, eine Liste sämtlicher IDs und Passwörter hier auf klamm zu erstellen. Das ganze war nichtmal auf klamm-Accounts beschränkt, EF-Accounts waren auch betroffen. Als ob das noch nicht genug wäre - sämtliche Namen bzw. Anschriften, Kontostände auf klamm und weitere Informationen, welche sich in der DB befinden, wären mit ein wenig Ratearbeit und Kreativität auch auslesbar gewesen. Ich habe (selbstverständlich) keine Accounts außer dem meinigen ausgelesen, ich denke, das sollte klar sein - denn ich will hier niemandem irgendwas böses. Natürlich auch nur Informationen, die ich selber offen einsehen kann und die für mich bestimmt sind, um das nochmal zu verdeutlichen, ich habe mir also nichts vorzuwerfen.
Meiner eigenen Meinung nach ist die Wahrscheinlichkeit, dass es weitere solcher Bugs gibt, hoch. Das ist jedoch meine subjektive Einschätzung, aufgrund einiger Fakten, die ich bisher weiß - Beweise für noch mehr Bugs habe ich (noch) nicht. Einen weiteren potentiellen Risikokandidaten habe ich bereits gefunden, muss diesen aber zunächst weiter untersuchen, um genaue Aussagen darüber Treffen zu können, ob auch hier ein Angriff möglich wäre.
Was mich nun noch weiter schockiert hat war, dass der Bug und vor allem dessen Gefährlichkeit noch nicht erkannt wurde, als ich ihn praktisch schon komplett offenbart hatte. Damit mir geglaubt wurde, dass hier Haus und Hof offenstehen, musste ich erstmal mein eigenes PW genau auslesen und anzeigen lassen ...
Ich möchte hiermit also mal offen Beschwerde darüber ablegen, nein, ich bin sogar empört darüber, wie offen hier manche Daten zu liegen scheinen. Hätte ein Angreifer / Cracker (also jemand, mit bösartigen Absichten) gesucht, bin ich mir fast sicher, dass er diese Bugs auch gefunden hätte. Den ersten Bug habe ich nämlich (zugegeben, mehr oder weniger mit Glück) in weniger als einer halben Stunde gefunden.
Dieser Angreifer hätte dann ohne Schwierigkeiten die Möglichkeit gehabt, rund 238.000 Datensätze zu stehlen - vielleicht auch die Adressen zu verkaufen oder die Passwörter zu missbrauchen.
Ich bitte daher darum, dass sich der Verantwortliche ( / die Verantwortlichen?) das ganze hier mal gründlich durch den Kopf gehen lassen, denn so kann es denke ich nicht weitergehen.
mfg
raven
Ich prüfe Software gelegentlich (oft aus Langeweile *g*) auf Sicherheitslücken, Bugs, die wirklich gefährlich sein könnten, um diese zu melden, damit diese nicht mehr ausgenutzt werden können. (kleine Information am Rande, leider wird dies immer wieder vergessen: Hacker melden Bugs, Cracker nutzen diese aus - bitte merken ... )
Lange hab ich klamm dabei außer Acht gelassen, weil ich bei einer Community mit bald 300.000 Mitgliedern nicht wirklich an so schwerwiegende Bugs geglaubt hab, leider war das absolute Gegenteil der Fall.
Mittlerweile habe ich bereits (wie so oft, mit netter Hilfe von bartman ) zwei äußerst kritische Bugs gefunden (und umgehend gemeldet), mit beiden war es möglich, eine Liste sämtlicher IDs und Passwörter hier auf klamm zu erstellen. Das ganze war nichtmal auf klamm-Accounts beschränkt, EF-Accounts waren auch betroffen. Als ob das noch nicht genug wäre - sämtliche Namen bzw. Anschriften, Kontostände auf klamm und weitere Informationen, welche sich in der DB befinden, wären mit ein wenig Ratearbeit und Kreativität auch auslesbar gewesen. Ich habe (selbstverständlich) keine Accounts außer dem meinigen ausgelesen, ich denke, das sollte klar sein - denn ich will hier niemandem irgendwas böses. Natürlich auch nur Informationen, die ich selber offen einsehen kann und die für mich bestimmt sind, um das nochmal zu verdeutlichen, ich habe mir also nichts vorzuwerfen.
Meiner eigenen Meinung nach ist die Wahrscheinlichkeit, dass es weitere solcher Bugs gibt, hoch. Das ist jedoch meine subjektive Einschätzung, aufgrund einiger Fakten, die ich bisher weiß - Beweise für noch mehr Bugs habe ich (noch) nicht. Einen weiteren potentiellen Risikokandidaten habe ich bereits gefunden, muss diesen aber zunächst weiter untersuchen, um genaue Aussagen darüber Treffen zu können, ob auch hier ein Angriff möglich wäre.
Was mich nun noch weiter schockiert hat war, dass der Bug und vor allem dessen Gefährlichkeit noch nicht erkannt wurde, als ich ihn praktisch schon komplett offenbart hatte. Damit mir geglaubt wurde, dass hier Haus und Hof offenstehen, musste ich erstmal mein eigenes PW genau auslesen und anzeigen lassen ...
Ich möchte hiermit also mal offen Beschwerde darüber ablegen, nein, ich bin sogar empört darüber, wie offen hier manche Daten zu liegen scheinen. Hätte ein Angreifer / Cracker (also jemand, mit bösartigen Absichten) gesucht, bin ich mir fast sicher, dass er diese Bugs auch gefunden hätte. Den ersten Bug habe ich nämlich (zugegeben, mehr oder weniger mit Glück) in weniger als einer halben Stunde gefunden.
Dieser Angreifer hätte dann ohne Schwierigkeiten die Möglichkeit gehabt, rund 238.000 Datensätze zu stehlen - vielleicht auch die Adressen zu verkaufen oder die Passwörter zu missbrauchen.
Ich bitte daher darum, dass sich der Verantwortliche ( / die Verantwortlichen?) das ganze hier mal gründlich durch den Kopf gehen lassen, denn so kann es denke ich nicht weitergehen.
mfg
raven