Neues Datenleck bei… Na und?

Donnerstag, 29. Januar 2009, 15:50 Uhr |  Autor:

Neues Datenleck bei der Telekom” (stern.de)

Der STERN hat aufgedeckt das… naja, irgendwer, wahrscheinlich so ein Korinthenkacker wie ich, hat etwas an der URmeL rumprobiert, gemerkt das man einfach nur die Kundennummer ändern muß um an fremde Daten zu kommen und diese Info hat er an den STERN verkauft.

Wundert mich das? Nein! Warum nicht? Nicht weil ich die Telekom für besonders unfähig halte, sondern einfach weil das ein Riesenladen ist. Da hat wahrscheinlich niemand wirklich den Überblick wo, welcher Dienstleister oder welche Abteilung, an welchem Projekt, was gebastelt hat. “Die Telekom” gibt es (websitetechnisch) auch nicht, das sind dutzende von WebSites und mindestens genauso viele externe Dienstleister, die an irgendwelchen Projekten “für” die Telekom arbeiten und das so mancher Dienstleister… dumm wie 100 Meter Feldweg ist und einfach keine Ahnung hat, ist auch nicht wirklich neu.

Ich finde immer wieder die verschiedensten Lücken, auf den verschiedensten WebSites, versende mein E-Mail dazu und dann passiert oft nichts – XSS-, CSRF, SQL-Injection-Lücken werden einfach ignoriert. Ich kann sagen das die Telekom bisher immer sehr schnell reagierte, wenn ich etwas gefunden habe. Bei der Telekom etwas zu finden ist nicht so ganz einfach, aber das ist ja gerade die Herausforderung für mich. :O)

Es gibt wohl auch kaum eine Firmen-WebSite, egal welcher Größenordnung, die keine Lücke im System hat. Ich behaupte auch das in allen Programmen Fehler stecken, sofern sie über das berühmte Hello, world!-Programm hinausgehen. Die wirklich guten Entwickler sind die akribischen Leute, die die es ganz genau nehmen, die Korinthenkacker unter den Entwicklern. Aber auch denen unterlaufen Fehler, ganz einfach weil auch sie nur Menschen sind.

Computer haben eine komische Eigenart, sie tun das was ihnen das Programm sagt und nicht das was der Entwickler des Programms gemeint hat.

Auf manchen WebSites, vor allem neue Seiten, die offensichtlich von sehr unerfahrenen Leuten entwickelt wurden, findet man die tollsten Dinge. Download-Scripte mit denen man alle Dateien laden kann, bis zur dom.tld/dl.script?../../../../../etc/passwd runter. Auch ' or 1=1 -- als Benutzername ist nicht tot zu kriegen und das Feature, eine Kopie der eigenen JavaScripte im Userprofil zu sichern, ist auch sehr häufig in Social-Networking-WebSites zu finden. ;O)

Leider bekommen die Dienstleister mit den interessantesten Referenzen einen Auftrag, nicht die die wirklich gute Arbeit abliefern. Wenn ein Dienstleister für die Hamburg-Mannheimer, für die Landesbank Berlin oder den NDR gearbeitet hat, dann hat das sehr viel mehr Gewicht, als wirklich gute Arbeit. Ich denke bei der Telekom ist das bei der Auftragsvergabe nicht viel anders.

Tags »   

Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
Thema: Korinthenkacker, Sicherheit

Kommentare und Pings sind geschlossen.

4 Kommentare

  1. 1
    Stotti 
    Donnerstag, 29. Januar 2009, 18:08 Uhr

    Hallo Korinthenkacker! ;)

    Neben den Referenzen und der Qualität der abgelieferten Arbeit zählt für die meisten Auftraggeber natürlich vor allem der Preis des Anbieters. Damit will ich nicht sagen, dass Tagessatz und Qualität der geleisteten Arbeit unbedingt korrelieren müssen. Bekommt aber jemand wenig Geld für die Umsetzung, muss er ggf. zügiger arbeiten und so entstehen schneller Fehler. Oder sehe ich das falsch? :)

    Grüße!

  2. 2
    ich 
    Donnerstag, 29. Januar 2009, 22:19 Uhr

    Moin,

    wenn jemand in Eile ist sollte er keine sicherheitsrelevanten Teile einer Webapplikation entwickeln. Fehler können immer passieren. Aber es gibt Fehler die sind so lächerlich, die dürfen nicht passieren und da kann man sich auch nicht mit Termindruck rausreden.

    Letztens fand ich mal wieder eine öffentlich zugängliche Konfigurationsdatei, in der es einen “Easy-Login-Mode” gibt, bei dem man einfach nur “start” und “ziel” für Benutzername und Passwort eingeben muß – hardcodet versteht sich… Könnte natürlich auch ein Backdoor des Entwicklers sein… Da fällt mir dann auch nichts mehr zu ein.

    CU

  3. 3
    Lonesome Walker 
    Sonntag, 1. Februar 2009, 16:05 Uhr

    Versuch’ Dich mal auf experto.de…

    Die sind sogar so schmerzfrei, daß sie alles am liebsten totschweigen wollen.

    Nachdem ich denen letztes Jahr im Sommer schon eine nette Lücke gemeldet habe, hat man dieses Jahr anscheinend das Management gewechselt, und man wollte alles mit einem Amazon-Gutschein regeln…

    Mir geht es nicht um einen geldwerten Vorteil, mir geht’s darum, daß meine Daten wenigstens mit einem Mindestmaß von üblicher Zugangsverweigerung geschützt sind.

  4. 4
    ich 
    Sonntag, 1. Februar 2009, 19:35 Uhr

    Das Datenleck von dem Du in deinem Blog schreibst habe ich nicht gesehen, aber dafür mal wieder XSS-Lücken… Krass ist ist noch untertrieben, so etwas habe überhaupt noch NIE gesehen.

    Wenn Du magst… Eine Beschreibung zum Datenleck kannst Du mir auch gerne per E-Mail senden – Interessiert mich sehr. :O)