“Neues Datenleck bei der Telekom” (stern.de)

Der STERN hat aufgedeckt das… naja, irgendwer, wahrscheinlich so ein Korinthenkacker wie ich, hat etwas an der URmeL rumprobiert, gemerkt das man einfach nur die Kundennummer ändern muß um an fremde Daten zu kommen und diese Info hat er an den STERN verkauft.

Wundert mich das? Nein! Warum nicht? Nicht weil ich die Telekom für besonders unfähig halte, sondern einfach weil das ein Riesenladen ist. Da hat wahrscheinlich niemand wirklich den Überblick wo, welcher Dienstleister oder welche Abteilung, an welchem Projekt, was gebastelt hat. “Die Telekom” gibt es (websitetechnisch) auch nicht, das sind dutzende von WebSites und mindestens genauso viele externe Dienstleister, die an irgendwelchen Projekten “für” die Telekom arbeiten und das so mancher Dienstleister… dumm wie 100 Meter Feldweg ist und einfach keine Ahnung hat, ist auch nicht wirklich neu.

Ich finde immer wieder die verschiedensten Lücken, auf den verschiedensten WebSites, versende mein E-Mail dazu und dann passiert oft nichts – XSS-, CSRF, SQL-Injection-Lücken werden einfach ignoriert. Ich kann sagen das die Telekom bisher immer sehr schnell reagierte, wenn ich etwas gefunden habe. Bei der Telekom etwas zu finden ist nicht so ganz einfach, aber das ist ja gerade die Herausforderung für mich. :O)

Es gibt wohl auch kaum eine Firmen-WebSite, egal welcher Größenordnung, die keine Lücke im System hat. Ich behaupte auch das in allen Programmen Fehler stecken, sofern sie über das berühmte Hello, world!-Programm hinausgehen. Die wirklich guten Entwickler sind die akribischen Leute, die die es ganz genau nehmen, die Korinthenkacker unter den Entwicklern. Aber auch denen unterlaufen Fehler, ganz einfach weil auch sie nur Menschen sind.

Computer haben eine komische Eigenart, sie tun das was ihnen das Programm sagt und nicht das was der Entwickler des Programms gemeint hat.

Auf manchen WebSites, vor allem neue Seiten, die offensichtlich von sehr unerfahrenen Leuten entwickelt wurden, findet man die tollsten Dinge. Download-Scripte mit denen man alle Dateien laden kann, bis zur dom.tld/dl.script?../../../../../etc/passwd runter. Auch ' or 1=1 -- als Benutzername ist nicht tot zu kriegen und das Feature, eine Kopie der eigenen JavaScripte im Userprofil zu sichern, ist auch sehr häufig in Social-Networking-WebSites zu finden. ;O)

Leider bekommen die Dienstleister mit den interessantesten Referenzen einen Auftrag, nicht die die wirklich gute Arbeit abliefern. Wenn ein Dienstleister für die Hamburg-Mannheimer, für die Landesbank Berlin oder den NDR gearbeitet hat, dann hat das sehr viel mehr Gewicht, als wirklich gute Arbeit. Ich denke bei der Telekom ist das bei der Auftragsvergabe nicht viel anders.