Montag, 2. Februar 2009

Sicherheit

Datenpanne bei 1und1

Bei 1und1 gibt/gab es eine riesen Sicherheitslücke. Mit dieser ist es möglich auf die Einzelverbindungsnachweise der 1und1-Kunden zuzugreifen.

Durch simples ändern der Kunden-ID Rechungs-ID in der URL konnte man auf fremde Kundendaten zugreifen. 1und1 hat zur Schadensbegrenzung erstmal die Funktion des Einzelverbindungsnachweis deaktiviert, bis die Sicherheitslücke geschlossen ist.

Da fehlen einem die Worte...

Update 22:00 Uhr: sag_ich_lieber_nicht is right - es lag nicht an der Kunden-ID, sondern am Parameter select.RechnungID - wurde hier eine richtige ID übergeben, konnte man die Rechung eines anderen Kunden einsehen.

Bewertung: 1 von 5, 1 Stimme(n) 780 Klicks
, , ,
Von Mr.Foo in Sicherheit am 02.02.09@18:59 Uhr

Trackbacks
Trackback für spezifische URI dieses Eintrags

Keine Trackbacks

2 Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

sag_ich_lieber_nicht - #1 - 02.02.2009 20:14 - (Antwort)

1. Sicherheitslücke ist geschlossen,
2. Mit der Kunden-ID (alle News-Seiten scheinen voneinander abzuschreiben) hatte das Problem herzlich wenig zu tun.

Mr. Foo - #1.1 - 02.02.2009 20:59 - (Antwort)

Hallo sag_ich_lieber_nicht,

wenn es nicht an der Kunden-ID lag, woran lag es dann? Bitte ein wenig mehr Informationen.

PS. Bist du eigentlich 1und1 Kunde, oder Mitarbeiter? Nach deiner IP zu urteilen kommst du auf jeden fall aus dem 1und1 Netz :-)


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden