…Alles spricht inzwischen übrigens dafür, dass in Norwich keine Hacker am Werk waren, die vom Server der CRU geheime Daten geklaut haben…..

Quelle: ef-online

• Jäger, Sammler und die Klimakatastrophe

• Eine Frage der Gleichberechtigung – Das Klima kann nicht allein durch technische Lösungen stabilisiert werden

• Datenklau: Weil ihnen die Argumente ausgehen, klauen Industrielobbyisten und ihre Fangemeinde private Daten

• IPPNW: Klimawandel ist keineswegs nur ein Umweltproblem, sondern bedroht Leben und Gesundheit von Millionen von Menschen

_skywalker_

„Wir leben in einer Krise, wir müssen alles neu denken. Aus der sozialen Marktwirtschaft muss eine ökologisch-soziale Marktwirtschaft werden.”

Albrecht Graf Matuschka (*1944)

SchülerVZ

Nach einem Spiegel-Bericht hat der Technikchef von VZnet den Hacker per Chat kontaktiert. Laut dem Chat-Protokoll, das dem Spiegel offenbar vorliegt, habe die Firma selbst mehrfach das Thema Geld angesprochen. Wenn man es schaffe, die Daten zu lokalisieren und zu löschen, so dürfe “uns das auch was kosten“. An anderer Stelle schrieb der Technikchef “du – und andere können bei uns rumhacken wie sie wollen. ich bezahl euch sogar gerne dafür!“ Unter einer Bedingung: “wenn ich jemanden dafür bezahle, möchte ich, dass das nicht public wird“. Auf die Frage, was der junge Mann mit dem Datensammeln erreichen wolle, antwortete er: “gar nichts, das war’n just4fun projekt“. Dies entspricht auch der Darstellung des Verteidigers, demzufolge es ihm nicht ums Geld gegangen sei.

In einem Chat am 17. Oktober sei der VZnet-Mann dann zur Sache gekommen: “also, was ist sache. kooperation oder krieg?“ Sein Gegenüber entschied sich scheinbar für Kooperation.Er nannte seinen Namen und seine Anschrift und willigte ein, in die Berliner VZnet-Zentrale zu kommen. Am späten Abend des nächsten Tages erreichte er die Geschäftsräume, die Taxirechnung von 530 Euro bezahlte das Unternehmen.

Über den Verlauf der weiteren Verhandlungen gebe es unterschiedliche Versionen. Der VZnet-Technikchef habe der Polizei gegenüber ausgesagt, dass der Hacker sofort 20.000 Euro verlangt habe. Der Erlanger dagegen erklärte, er sein von den VZnet-Mitarbeitern gefragt worden, ob es ihm um Geld oder um Ruhm gehe. “Wenn die mir Geld anbieten“, soll er der Polizei gegenüber ausgesagt haben, “nehme ich es gern an.“

Beim iPhone ist mir heute eine Schwachstelle aufgefallen, die zum Datenklau genutzt werden kann. Webseiten können so unbemerkt alle möglichen Daten auslesen und im Hintergrund auf einen Server hochladen.

Zu den Daten zählen Emails, Kontakte, Notizen und alles andere, was in plist’s und sqlite-db’s abgelegt wird. Betroffen sind alle iPhones mit jailbreak, die die Software “file:// Schema in Safari” per Cydia installiert haben. Abhilfe schafft nur dessen Deinstallation.

Der Exploid basiert auf dem Nachladen der Dateien per Javascript über die URL “file:///…” und anschließendem Upload ebenfalls per Javascript. Da auch die Cookie-Datenbank betroffen ist, die evtl. gültige Sessions enthält, sollte die o.g. Software besser entfernt werden.

Da diese Lücke schon früher bei Netscape Probleme gemacht hat, hat Apple scheinbar das File-Schema vorab rausgenommen. Normalerweise bekommt der Nutzer das Filesystem ja auch nie zu sehen.

Scheinbar programmieren alle die Rechnungsanzeige gleich. Es wird eine fortlaufende Zahl genommen ohne Verknüpfung mit den Kunden. Nach Libri hat nun den Deutschen Sparkassenverlag (DSV) ein Datenschutzproblem mit Kundenrechnungen ereilt. So konnten angemeldete Nutzer die Rechnungen anderer Kunden durch Ändern einer bestimmten ID einsehen. Das berichtet netzpolitik.org.

Die Datenpanne bei SchülerVZ ist größer als gedacht. Laut netzpolitik.org, gab es mehr als die beiden bekannten Fälle. Der Dritte Fall ist kritischer, denn er enthält auch persönliche, geschützte Daten. Der Urheber der Daten wollte, nach eigenen Angaben, auf die Sicherheitslücken von SchülerVZ hinweisen und demonstrieren wie er das alte Captcha-System umgehen konnte.

Weitere Infos findet Ihr hier:
SchülerVZ-Datenpanne: Persönliche Daten auch betroffen

Ich habe noch Urlaub, Ferien oder wie man es sonst noch so nennt, wenn man mal entspannen will. Ein kleiner Zwischenstopp in Asniéres bei Paris führt mich in eine gute Unterkunft mit Internet-Anbindung. Und natürlich muss ich jetzt erst mal sehen, was meine Kollegen vom Blogger-Netzwerk so machen.

Kaum angedacht und mein eMail-Account geöffnet, fallen mir schon tausende von eMails entgegen. Drei davon sind ganz interessant. Zuerst einmal der Reisebericht aus Tim’s Blog … da muss ich ihm mal einen ganz tollen Kommentar schreiben. Dann der Netzwerk-Artikel, geschrieben vom Trottelbot, der sehr gut formuliert ist. Den werde ich wahrscheinlich erst am Montag übernehmen. Und dann….

Ja dann kommt eine Meldung von Tueffler123, wo ich vor Entsetzen die Hände über den Kopf zusammen schlage. Tueffler123 meldet unter der Überschrift “Datenklau-Verdächtiger nimmt sich in U-Haft das Leben”:

“Der des Datendiebstahls bei der Online-Plattform SchülerVZ Verdächtige hat sich in der Untersuchungshaft das Leben genommen. Der 20-Jährige wurde am Samstagmorgen tot in seiner Zelle in der Berliner Jugendstrafanstalt Plötzensee aufgefunden, wie die Nachrichtenagentur AFP aus Polizeikreisen erfuhr.”

Da frage ich mich unwillkürlich: Ja, wo sind wir denn? – Sind wir noch auf dieser Welt, oder haben Außerirdische in einer Nacht- und Nebelaktion uns irgendwo anders hin verfrachtet? – Denn dieses schreit ja förmlich nach einem unfähigen Justizvollzug, der sowas überhaupt zulassen kann.

Es waren nur Daten, Leute. Hier wurde bisher noch keiner ermordet!!!

Bisher! – Denn ob sich dieser 20-jährige wirklich selber umgebracht hat, oder dazu getrieben wurde, das sollte jetzt schnellstes untersucht werden. Ich gebe euch auch schon mal einen kleinen Tipp:

Mord ist nämlich auch Rufmord, der zum Selbstmord führt. So sehe zumindest ich das und mit Sicherheit viele andere. Ich klage jetzt einfach mal die Medien an. Nein, nicht die seriösen wie süddeutsche, FAZ, Welt, Frankfurter usw. Diese berichten nämlich genauso sachlich wie wir Blogger, die in einem verantwortungsvollen Netzwerk tätig sind.

Angeklagt von mir wird die Boulevard-Presse, zu der die Springer-Presse, Bertelsmann und teilweise auch der Holtzbrinck-Konzern gehört mit ihren langweiligen, unzähligen “Nackte-Weiber-Bildern” und zum Kotzen geeigneten Berichten, die nur darauf zielen, den Leser zu verwirren, mit Falschmeldungen zu füttern und mit Bildern diverser “Stars und Sternchen” zu infiltrieren.

Genau diese sind die Mörder, die einen Menschen, der nur Datenklau beging, so schwer sein Vergehen auch war, durch ihre andauernde effekthaschende Berichterstattung zum Tod trieben.

Diese drei Konzerne, an denen schon manches Blut klebt, sollten nicht nur beobachtet werden. Und ich werde beim Netzwerk, dem ich angehöre, einen Antrag stellen, daß wir uns dieses Themas annehmen. Denn dagegen muss endlich was unternommen werden. Gegen diese Willkür und Verfolgung der Menschen wegen geringfügiger Vergehen muss vorgegangen werden. Bertelsmann und Springer waren auch im 3.Reich tätig. Wir wollen es bitte nicht nochmal soweit kommen lassen.

Aber zuerst möchte ich meine Urlaubs-Resttage noch genießen. Aber dann werdet ihr wieder was von mir lesen, vielleicht sogar in Zusammenarbeit mit meinen Kollegen vom Netzwerk.

Auf immer mehr persönliche Daten von Firmen, Banken, Onlineshops,  Socialnetworks oder Behörden kann man recht ungehindert zugreifen. Also sind wir längst die gläsernen Bürger mit deren Daten man machen kann was einem beliebt, auch Betrug oder finanziellen Schaden. Es vergeht kein Tag wo ein neuer Fall bekannt wird.

Durch eine Lücke im System des Online-Buchhändlers Libri.de war es jedermann möglich, online unautorisiert mehrere tausend Rechnungen von Kunden einzusehen. Das berichtet netzpolitik.org. Zum Abruf genügte es, in der URL der online als PDF hinterlegten Rechnungen einfach die Rechnungsnummer zu variieren – die einfach durchnummeriert waren. Auf diese Weise konnten die Mitarbeiter von netzpolitik.org per Skript in einer halben Stunde rund 20.000 Rechnungen herunterladen.

Das ist doch toll, weil man mal wieder sieht was ein TÜV-Zertifikat und die Dienstleistungen des TÜV Süd wert sind.

Aber die Bundesregierung wird sich mit Krypto-Handys vor Spionage und Datenklau schützen und das für ca. 21 Millionen Euro. Drei deutsche Firmen dürfen sich über Großaufträge des Bundesbeschaffungsamts freuen: Secusmart, Rohde & Schwarz sowie T-Systems sind auserkoren, Bundesbeamte mit sicheren Handys auszustatten. Die drei Rahmenverträge umfassen “tausende Handys” und “mehrere Millionen Euro” – Genaueres verraten die Beteiligten offiziell nicht.

Nur der Bürger ist kaum geschützt.

“Aus Protest gegen die unglaubliche Sauerei, die im Monent läuft” hat es heuer keine Positiv-Auszeichnung bei den Big Brother Awards gegeben.  Der Award wird Personen, Institutionen, Behörden und Firmen zuerkannt, “die sich im Feld der Überwachung, Kontrolle und Bevormundung ganz besonders verdient gemacht haben”, so die Veranstalter. Leider gabs da heuer überhaupt keine Positivbeispiele, wie die Jury befand. Haben wir uns schon mit Datenklau, Überwachung und Beschneidung der Bürgerrechte abgefunden?

Abgeholt wird der Preis von den “glücklichen” Gewinnern so gut wie nie – wer will schon einen Negativpreis entgegennehmen. Heuer ist ein Preis in Vertretung allerdings entgegengenommen worden. In Vertretung. Für die Grünen. Von einem Mann mit Strumpfmaske.

Star bei den Laudatoren war diesmal Stefan Ruzowitzky, seines Zeichens Oscar-Preisträger. Aja: Mieze Medusa war auch dabei. Eher flau. Und die Mannen von  “monochrom” hatten wieder einmal einen denkwürdigen Auftritt: Sie traten in ihrer Rolle als “Sowjet Unterzögersdorf” auf. So schauts aus: Vodka statt Überwachung!

>>Bilder und Infos zur Big Brother Gala

Vorsicht Datenklau … Der Datendiebstahl bei SchülerVZ sollte alle Web 2.0-User wachrütteln. Was sich dort ereignete, kann theoretisch in jedem Sozialen Netzwerk passieren. Zwar werden jetzt einige Anbieter aktiv, um das automatische Auslesen der Kontaktdaten weiter zu erschweren. Aber manchmal öffnen die Nutzer selbst öffentlichen Web-Crawlern die Möglichkeit ihre privaten Daten schnell abzugreifen.

Werner Veith hat in einem Beitrag für Network Computing, das am Beispiel von Xing dargestellt. Das Netzwerk Xing bietet die Option eine Weitergabe persönlicher Daten an Suchmaschinen zu verhindern. Wer die Weitergabe nicht eingeschränkt, erlaubt Web-Crawler wie Google das Abgreifen der privaten Informationen. Möglich wird dies bei Xing durch die Einstellung in der Privatsphären-Option: „Mein Profil darf in Suchmaschinen auffindbar sein“ sowie die Einstellung: „Mein Profil darf auch für Nicht-Mitglieder abrufbar sein“. Beide Funktionen sollten auf jeden Fall deaktiviert werden, rät Veith, falls ein Nutzer nicht will, dass seine persönlichen Daten frei zugänglich durchs Netz geistern. Bei Xing lässt sich relativ einfach einstellen, wer welche Daten sehen darf.

Wer es nicht macht – ist selber schuld.

Der Skandal um die Datenpannen in den letzten Tagen reißt nicht ab. Vor kurzem berichteten wird von einem Datenklau bei SchülerVZ. Nun ist Google angeblich auch von einer Datenpanne betroffen. Die Benutzer der Google-Anwendungen sind besorgt, zu Unrecht.

Weitere Infos findet Ihr hier:
Angebliche Datenpannen bei Google durch Anwender entstanden

Die Datenschutzskandale reißen nicht ab. Mehr als 1 Million Datensätze mit der Profil-ID, Name und der Schule wurden gestohlen. Ein weiterer kleiner Datensatz beinhaltet zusätzlich Geschlecht, Alter und Profil-Bild.

Weitere Infos findet Ihr hier:
1 Million Datensätze bei SchülerVZ von Datenklau betroffen

Zur Erklärung:

Phishing

Phishing [ˈfɪʃɪŋ] werden Versuche genannt, über gefälschte WWW-Adressen an Daten eines Internet-Benutzers zu gelangen. Der Begriff ist ein englisches Kunstwort, das sich an fishing („Angeln“, „Fischen“, evtl. in Anlehnung an Phreaking auch password fishing, bildlich das „Angeln nach Passwörtern mit Ködern“, anlehnt. Häufig wird das h in dem Begriff mit Harvesting erklärt, so dass der Begriff Phishing dann Password harvesting fishing lautet.

Es handelt sich meist um kriminelle Handlungen, die Techniken des Social Engineering verwenden. Phisher geben sich als vertrauenswürdige Personen aus und versuchen, durch gefälschte elektronische Nachrichten an sensible Daten wie Benutzernamen und Passwörter für Online-Banking oder Kreditkarteninformationen zu gelangen. Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel.
[Quelle: Wikipedia]

Fisting

Faustverkehr (engl.: Fisting , engl.: fist für „Faust“) bzw. Fisten oder Fausten ist eine sexuelle Praktik, bei der mehrere Finger bis hin zu einer oder mehreren Händen in die Vagina (brachiovaginal) oder den Anus (brachioproktisch) eingeführt werden.
[Quelle: Wikipedia]

Diesen altbekannten Sinnspruch, der sich fraglos für jeden von uns immer wieder aufs Neue als unwiderlegbare Lebensweisheit entpuppt, ist diesmal in Bezug auf die Aktion KEHRWOCHE und unsere im zuletzt veröffentlichten Artikel verkündete Absicht zu beziehen, uns diesbezüglich ab sofort aus der forcierten aktiven Verbreitung von Informationen zur Aktion zurückziehen zu wollen. Wir hoffen, dass dieser „Widerspruch zur Ansage“ eine einmalige Ausnahme bleiben wird … notwendig ist er aber offensichtlich leider allemal …

Vorausgeschickt werden soll und muss, dass unsere oben genannte Ankündigung natürlich nicht bedeutet, dass wir unsere Sonderseite KEHRWOCHE nicht auch weiter kontinuierlich aktualisieren würden. Deshalb finden Sie dort aktuell … unter der Rubrik „Operation LUTHER“ … die unten nochmals angeführte Ergänzung. Dieselbe Info steht selbstverständlich auch auf der Hauptseite des Initiators und Autors der Aktion unter der entsprechenden Rubrik zur Verfügung.

Worum geht es?

Um Ihnen und uns einen zu langen Artikel zu ersparen, lassen wir die jüngste Veröffentlichung des Autors für sich selbst sprechen …

Ihre Befürchtungen die Bestellung einer ECHTEN Staatsangehörigkeit betreffend

… und möchten dazu nur noch einen eigenen Kommentar anfügen.

Bedenken der im Dokument zitierten Art sind sicherlich legitim und angesichts der vielen Nachrichten über alle Arten von Datenklau und Datenhandel auch nicht unbedingt als „Paranoia“ zu definieren … wenn man die Sache allerdings nüchtern betrachtet und dabei der Tatsache Beachtung schenkt, dass hier eine Hilfestellung für alle Bürger/innen unseres Landes angeboten wird, die als einzige der vielen kursierenden „Thesen“ hinsichtlich einer Beendigung des unhaltbaren Zustands unseres „Staates“ und für eine Überwindung der „leicht verschobenen“ Ansicht aller „Verantwortlichen“ von Demokratie, Rechts- bzw. Sozialstaatlichkeit und politischer Verantwortung gegenüber dem Gemeinwohl wirklich Aussicht auf Erfolg verspricht, ist es schon möglich und auch angebracht, von einer doch arg eingeschränkten Sicht- und Denkweise der Skeptiker zu sprechen.

Wer die Daten, welche erhoben werden müssen, um im Namen des deutschen Volkes die notwendigen Schritte zur Beendigung der oben angedeuteten Zustände in unserem Land einleiten zu können, unbedingt „sammeln“ will, braucht dazu beileibe keine Aktion KEHRWOCHE respektive „Bestellung einer ECHTEN Staatsbürgerschaft“. Die Furcht und Skepsis, die hier laut wird, hätten unsere geschätzten Mitbürger/innen sich etwas früher zu Eigen machen und zu Herzen nehmen müssen … da man es jedoch vorzog, eher freizügig mit seinen persönlichen Daten umzugehen – sei es im Internet an sich, beim Einkauf und Bezahlen in respektive über Internetshops, bei der Verwendung von Kredit- und Bankkarten, durch die Benutzung von Handys und GPS-Navigation usw. usf. – sind sämtliche Daten (weit über jene, die bei der „Bestellung“ abgefragt werden hinaus) für Datensammler – sowohl mit staatlichem Auftrag als auch mit illegalen kommerziellen Hintergedanken – längst im Überfluss verfügbar.

Und wenn Sie nun meinen, die – ebenfalls notwendige – eindeutige Identifikation Ihrer Person durch Angabe der PersonALausweisnummer sei ein Indiz für kriminelle Absichten der Aktion, der beweist damit wieder einmal nur, dass die Menschheit ein hundsmiserables Kurzzeitgedächtnis besitzt. – Oder haben Sie wirklich noch nie davon gehört, dass auch kommunale und andere Verwaltungen (vorsichtig ausgedrückt) extrem schlampig mit den Daten umgehen, welche ihnen die Bürger/innen gezwungenermaßen anvertrauen müssen? Wenn wir uns recht entsinnen, hat es “auch schon Fälle gegeben”, in denen solche Daten von Behörden oder sonstigen „Dateninhabern“ ganz gezielt an Datenhändler verkauft wurden.

Dabei wollen wir es dann auch belassen, denn die Liste der Wege, über die Datensammler mit kriminellen Absichten in den Besitz Ihrer Daten kommen können, ist schlichtweg zu lang.

Zusammenfassend möchten wir zum Schluss nur noch hinzufügen, dass einige Menschen viel Zeit, Energie und durchaus auch Geld investieren, um uns alle … die Bevölkerung des Staates Deutschland noch rechtzeitig aus der Geiselhaft zu befreien, in die wir durch die Machenschaften der politischen Klasse und ihrer Komplizen/Auftraggeber geraten sind. Und das muss nun einmal erfolgreich eingeleitet und durchgeführt werden, bevor wir dazu keine Gelegenheit mehr haben werden, weil die Bevölkerung „Deutschlands“ und aller anderen EU-Staaten schon bald in einer EU-Diktatur untergegangen sein wird, in welcher diese Form der rigorosen Unterdrückung, uneingeschränkten Entrechtung und Ausbeutung Normalzustand sein soll!

Wenn Ihnen dies nicht das – wie oben unserer Ansicht nach plausibel erklärt – vergleichbar winzige Maß an Vertrauen wert ist, welches Sie diesen Menschen zur Verwirklichung des einzigen verfolgten Zweckes entgegenbringen müssen, dann haben Sie die Zeichen der Zeit wirklich nicht erkannt und/oder begriffen!

Und noch etwas dazu:

Was diese EU-Diktatur bedeuten und für uns „mehr oder weniger normale Menschen“ bringen wird, kann man nicht nur in George Orwell’s „1984“ (z.B. Ullstein – ISBN 3-548-23410-0), sondern auch und noch viel lebensechter, da an die tatsächlich gegebenen technologischen, politischen, geheimdienstlichen, militärischen, gesellschaftlichen, wissenschaftlichen und wirtschaftlichen Realitäten angepasst, in Scott McBain’s „Mastercode“ (Knaur – ISBN 3-426-62902-X … dürfte bei Amazon immer noch problemlos zu bekommen sein!) nachlesen!

Das war’s … hoffentlich – oder bis zum nächsten Grund, der uns zwingen könnte, „unser Schweigen zu brechen“ … es lag immer und liegt jetzt noch viel mehr allein bei Ihnen, ob Sie die oben genannten Bücher in Wahrheit und Wirklichkeit nachempfinden – oder doch etwas mehr Rückgrat, Entschlossenheit, Eigenverantwortung und (wir wissen, das ist schwer … aber unabdingbar!) Vertrauen aufbringen wollen, damit wir alle gemeinsam die Verwirklichung dieser „Fiktion“ verhindern können!?!

Was die können, kann ich auch.

So ist das eben in einer Gesellschaft, in der man von Montag bis Sonntag Partie feiern will, Komasaufen als Norm gilt und Alkohol so reichlich und billig fließt wie das Wasser im Rhein oder der Elbe. Nicht zu vergessen unsere Spasspolitiker, die sich mehr um den Dienstwagen von Ulla kümmern, als um die Korruption aller Dienstwagennutzer, von den Missständen bei den Firmenautos will ich erst gar nicht reden oder schreiben.

Und auch der Umgang mit Korruptionsverfahren durch die Staatsanwaltschaften und Richter hat bei vielen Bürgern den Eindruck erweckt, erlaubt ist alles was einem Kohle bringt. Oder anders ausgedrückt, nimm so viel du kriegen kannst, offenbar ist das Wie schon längst egal.

So hat eine Umfrage von Infosecurity Europe auf einer in London veranstalteten Konferenz für Angestellte ergeben, dass “fast zwei Drittel der Angestellten … für eine Million Pfund sensible Firmendaten verkaufen (würden). Fünf Prozent ließen sich für einen neuen Job bestechen. Mehr als 70 Prozent der Befragten haben Zugriff auf Kundendatenbanken und Geschäftspläne”.* Da kommt doch Freude auf bei den Tätern, wenn fast alle das machen, warum sollte ich da zurück stehen?

“Im Februar hatte eine Studie des Ponemon Institute gezeigt, dass Datendiebstähle auch unter ehemaligen Mitarbeitern eines Unternehmens weit verbreitet sind. 60 Prozent von 950 Befragten erklärten, sie hätten bei ihrer Entlassung unerlaubt vertrauliche Daten mitgenommen”.*

Offenbar ist Korruptin schon zu einer akzeptierten Seuche geworden.

*http://www.zdnet.de/news/wirtschaft_sicherheit_security_umfrage_mitarbeiter_zeigen_sich_offen_fuer_bestechung_story-39001024-41003506-1.htm

Liebe Leser,

von denen einige auch kommentieren. Man muss hier eine E- Mail Adresse angeben. Diese Info ist auch Basis Eures Gravatars.

Deshalb bitte ich Euch um zwei Dinge:

1. Sendet mir, einem Stranger im WWW, nur dann Eure wirklichen Namen, etc., wenn Ihr Euch meiner sicher seid. Ich könnte doch viel übler sein als ich hier tue. Denkt Euch was aus. Jeder hat im Web ein Alias!
2. Merkt Euch Eure Fake- Adresse, sonst habe ich zuviel Arbeit.

Mir ist klar wie schnell man mal die falsche Vorgabe anklickt, aber nicht alle Menschen sind nur kleine Arschlöcher! Please, take care of your own!

Ich wünsche Euch ein geiles Wochenende!

Max

Im Online-Shop unseres Kunden Trend-Waesche.de wurden am Wochenende zwei auffällige Bestellungen getätigt, bei denen Kunden mit Hilfe von Gutscheinen den Bestellwert drastisch reduziert haben. Das Auffällige dabei: Die Gutscheine waren noch gar nicht verteilt worden. Woher konnten die Käufer also die Gutscheine haben? Hacker im OXID eShop?

Wir machten uns auf die Suche und forschten in den Webserver Logfiles nach der Ursache des Problems. Es stellte sich heraus, dass es kein Brute-Force Angriff durch Ausprobieren von Ziffern- und Buchstabenkombinationen war, sondern dass zielgenau sofort die richtigen Gutschein-Codes eingetragen wurden.

Wir schauten uns daraufhin die Gutschein Generierung näher an, und stellten dabei blitzschnell fest, dass die Gutschein Export-Datei nach der Generierung auf dem Server stets auf einem Standard-Pfad abgelegt wird, der da heißt: www.shopname.com/export/oxexport.csv

Dieser Dateipfad ist von Haus aus öffentlich zugänglich und ist ohne Passwort-Schutz oder sonstige Schutzmechanismen von Dritten sofort einsehbar und abrufbar. Dies müssen auch die Angreifer auf den Trend-Wäsche Online-Shop bemerkt haben. Sie waren der Referer-Auswertung zur Folge direkt von der Referenz-Liste der OXID eSales AG auf den Kunden Shop für Damen- und Herren-Unterwäsche gelangt. Ein Indiz dafür, dass eine OXID Referenz nach der anderen durch die Angreifer aufgerufen wurde, um nach auf dem Server abgelegten Gutschein-Codes zu suchen.

Stichprobenartig checkten wir die Logfiles anderer Shops und stellten fest, dass auch dort, übrigens von der gleichen Angreifer-IP, versucht worden war die oxexport.csv aufzurufen.

Alle Export-Dateien, die bei generischem Export im OXID eShop erzeugt werden, werden als oxexport.csv gespeichert. Wenn also nun gerade der letzte getätigte Export ein Gutschein-Export war, dann konnte es passieren, dass diese Datei ewig und ohne die aktive Kenntnis des Shop-Betreibers über diese URL abrufbar war.

Wir stuften dies als kritische Sicherheitslücke ein und veröffentlichten diese als Bug Nr. 0001196 im OXID Bug-Tracker.

Vom Support der OXID eSales AG kam der folgende lapidare Hinweis zurück: “als einfache aber effektive Methode zum Schutz des Exports empfehlen wir, eine adäquate .htaccess im Export-Verzeichnis.”

Mit dieser Antwort wollten wir uns jedoch nicht zufrieden geben, sondern erwiderten:
Das ist UNS klar – aber was ist mit den vielen 1.000 anderen OXID Usern?

Sie sollten Ihre Kunden und OpenSource-Nutzer informieren, denn ich kann anhand meiner Logfiles sehen, dass derzeit ausgehend von der OXID Homepage ein Referenz-Shop nach dem nächsten angeklickt wird, um nach der oxexport.csv zu suchen und dann im Shop vergünstigt einzukaufen.

Das kann doch nicht im Interesse von OXID sein!

Es ist übrigens keine gute Idee, den Export-Ordner einfach mit Passwort zu schützen, weil dann auch der generische Export oder die Exporte zu Froogle und Co. nicht mehr ohne weiteres funktionieren.

Meiner Meinung sollten Sie:

• beim Export der Gutscheine den Standard-Pfad so vorgeben, dass dieser eben nicht übers Web aufrufbar ist, bzw. dort einen Sicherheits-Hinweis platzieren, oder zumindest den Dateinamen jeweils zufällig erzeugen, damit dieser nicht durch Angreifer leicht zu erraten ist.
• zusätzlich dann noch eine “Lösch-Taste” im Admin anbieten, damit nach dem Export die Datei wieder vom Server entfernt werden kann, ohne dass man dafür ein ftp-Programm bemühen muss.
• alternativ könnte man die Gutscheine vielleicht über den admin-controller ausgeben, so dass die Gutscheine nur im Passwort-geschützten Bereich von Shop-Admins abrufbar sind. Das wäre wohl die optimal-Lösung

Unseren Kunden haben wir empfohlen, Strafanzeige gegen die Hacker zu stellen.

Als Softwarehersteller sollten Sie nun die Lücke schließen.

Ende der Mail an OXID.

Nun sind nicht nur Gutscheine von dem Problem betroffen, sondern es könnte auch passieren, dass dort Kunden-Datensätze oder Newsletter-Empfänger etc. ungeschützt zum Download für Datensammler bereitliegen. Gerade bei der aktuellen Diskussion zum Thema Datenschutz und Datenklau ist es ein Unding, den OXID eShop standardmäßig so ungeschützt auszuliefern. Es ist für mich jedenfalls nicht nachvollziehbar, dass OXID da nicht reagiert.

Inzwischen habe ich erfahren, dass diese Lücke bereits seit Monaten bekannt ist – schließlich ist das Verhalten identisch in der alten 3.0.4.1 Version (und vermutlich noch davor) sowie in der Enterprise 2.7.0.1 aber auch in der allerneusten CE/PE/EE 4.1.4. Ich hoffe, dass OXID kurzfristig Abhilfe bereitstellt. Die Shops der durch top concepts betreuten Kunden sind bereits gepatcht worden.

Henrik Steffen, top concepts, OXID Certified Solution Partner

Schau dir meine Fotos in Facebook an – von dir ist bestimmt auch eins dabei.

Ich war eigentlich nur kurz auf facebook.com, und auch nur, da in den letzten Tagen im Zusammenhang mit dem Iran vermehrt von dieser Plattform gesprochen wurde. Was daraus wurde, ist verheerend und ärgerlich.

Kaum eingeloggt, wurde mir eingeblendet, dass ich noch keine „Freunde“ habe. Dann gab es auch ein Knöpfchen (Link) auf dem zu lesen war, dass ein Blick in mein Adressbuch meine Freunde finden würde, all diejenigen, die bereits bei facebook.com registriert sind. Das wählte ich aus. Kurz danach wurden mir rund 60 Treffer mit Bilder angezeigt. Davon wählte ich rund 10 aus, die ich als wirkliche „Freunde“ bezeichnete.

Was dann geschah, war ein Schock wert. Facebook.com schrieb alle restlichen Emailadressen in meinem Adressbuch automatisch an, um mit meinem Photo und mit einer Botschaft für diese Plattform zu werben. Insgesamt mehr als 1.000 Kontakte. Wären darunter nur Freunde gewesen, wäre das Ausmaß nicht so groß. So musste ich mich rund 350 offiziellen Emails stellen, dabei gingen die erreichten Unternehmen sogar von einem Virus aus.

Das Üble daran ist die Art der Vorgehensweise. Denn erstens kann man diese Art des knallharten Empfehlungsmarketings nach einem Adressmatching nicht verhindern und zweitens die Art der Ansprache nicht beeinflussen.

In der Folge ist jeder erfasste Kontakt auf immer und ewig bei facebook.com abgespeichert. Selbst die Löschung des Accounts führt nicht zu einer vollständigen Löschung der eigenen Daten. Im Gegenteil, diese werden gemeinsam mit allen Kontakten des Adressbuches an andere Unternehmen für Werbezwecke und Datenerhebungen verkauft. Der durch diesen Datenmissbrauch eingebrockte Ärger sowie den kühl in Kauf genommenen persönlichen und wirtschaftlichen Schaden sind enorm. Facebook.com ist darüber hinaus nicht elektronisch erreichbar. Ich fand dazu keine Email-Kontaktmöglichkeit, kein Impressum, nichts, nada.

Facebook.com, sicher ein guter Ansatz, wenn die eine oder andere fragwürdige (amerikanische) Methode nicht wäre.