Verfasst am: 21.11.2002, 01:20
Ich habe einen Bug bei Shortbooks gefunden.
Was ist passiert:
Am 10. November wollte ich mich im Shortbooks Partnerbereich einloggen, wozu ich auf der Shortbooks Startseite den Partnerprogramm-Button betätigt hatte. Plötzlich sah alles so auch wie in einem Demo-Account. Ich konnte Statistiken ansehen, das Passwort ändern und die persönlichen Daten einsehen. Da stand aber weder 'Hans Mustermann' noch 'Musterhausen', sondern ein zu realistischer Name mit Schweizer Anschrift aus Zürich. Ein kurzer Check bei einem Online-Telefonbuch bestätigte meine Vermutung: Ich war in einem fremden Account eingeloggt und alle Rechte standen mir offen!
Sofort kontaktierte ich den Eigentümer des Accounts und riet ihm, diese Angelegenheit mit Shortbooks abzuklären. Ausserdem teilte ich ihm sein neues Passwort mit - welches ich zu Testzwecken geändert habe.
Darauf erhielt ich folgende Antwort:
"Sehr geehrter Herr Uherek,
Ja, ich bin Partner von Shortbooks. Alle Ihre herausgefundenen Daten stimmen. Vielen Dank für den Hinweis. Ich habe es gleich Shortbook gemeldet."
Warum ist dies passiert:
Shortbooks bezog einige Tage Stellung zu dieser Geschichte und gab folgende Erklärung ab:
"Diese Sicherheitslücke entstand kurzfristig durch ein Softwareupdate, wo die Session-IDs versehentlich gecached wurden, so dass man sich für kurze Zeit mit sehr geringer Wahrscheinlichkeit in den Partnerbereich eines anderen Partners einloggen konnte. Der Fehler wurde innerhalb kürzester Zeit nach Entdeckung wieder behoben und die Sicherheitschecks zusätzlich verschärft, so dass es diesbezüglich keine Probleme mehr geben wird."
Die Session-ID eine Identifikationsnummer, die bei jedem Login zufällig und mit einer Ablaufzeit (z.B. 15 Minuten) vergeben wird - nach Ablauf einer Session wird man automatisch ausgeloggt und muss sich dann erneut einloggen um eine neue ID zugewiesen zu bekommen.
In diesem Fall wurden diese IDs gecached, also zwischengespeichert, sodass diese ID also offensichtlich nie ablaufen konnte.
Nun haben der eigentlich Partner und ich den selben ADSL-Anbieter, der IP-Adressen dynamisch verteilt. Ich erhielt also zufälligerweise die IP-Adresse des eigentlichen Partners und wurde somit von Shortbooks als 'online' identifiziert und da die Session noch gültig war, war ich eingeloggt, ohne mich aktiv eingeloggt zu haben.
Der Fehler sollte nun beseitigt und Shortbooks.de sollte nun wieder sicher sein. Was man jedoch sieht ist, dass auch die kleinste mathematische Wahrscheinlichkeit ein Sicherheitsloch nicht inexistent machen kann. Ein Diest muss einfach 100%-ig sicher sein, sonst hat man keine Garantie, dass eigene Daten von Drittpersonen eingesehen werden können.
Hier gehts zu den "Beweisfotos":
http://www.geldverdienst.ch/presse/shortbooks_bug.html
_________________
Gruss, Remo
Geldverdienst.ch
Meine Favoriten
.:Safe the original smileys ;-):.
[ Diese Nachricht wurde geaendert von: geldverdienst.ch am 2002-11-21 00:21 ]
Was ist passiert:
Am 10. November wollte ich mich im Shortbooks Partnerbereich einloggen, wozu ich auf der Shortbooks Startseite den Partnerprogramm-Button betätigt hatte. Plötzlich sah alles so auch wie in einem Demo-Account. Ich konnte Statistiken ansehen, das Passwort ändern und die persönlichen Daten einsehen. Da stand aber weder 'Hans Mustermann' noch 'Musterhausen', sondern ein zu realistischer Name mit Schweizer Anschrift aus Zürich. Ein kurzer Check bei einem Online-Telefonbuch bestätigte meine Vermutung: Ich war in einem fremden Account eingeloggt und alle Rechte standen mir offen!
Sofort kontaktierte ich den Eigentümer des Accounts und riet ihm, diese Angelegenheit mit Shortbooks abzuklären. Ausserdem teilte ich ihm sein neues Passwort mit - welches ich zu Testzwecken geändert habe.
Darauf erhielt ich folgende Antwort:
"Sehr geehrter Herr Uherek,
Ja, ich bin Partner von Shortbooks. Alle Ihre herausgefundenen Daten stimmen. Vielen Dank für den Hinweis. Ich habe es gleich Shortbook gemeldet."
Warum ist dies passiert:
Shortbooks bezog einige Tage Stellung zu dieser Geschichte und gab folgende Erklärung ab:
"Diese Sicherheitslücke entstand kurzfristig durch ein Softwareupdate, wo die Session-IDs versehentlich gecached wurden, so dass man sich für kurze Zeit mit sehr geringer Wahrscheinlichkeit in den Partnerbereich eines anderen Partners einloggen konnte. Der Fehler wurde innerhalb kürzester Zeit nach Entdeckung wieder behoben und die Sicherheitschecks zusätzlich verschärft, so dass es diesbezüglich keine Probleme mehr geben wird."
Die Session-ID eine Identifikationsnummer, die bei jedem Login zufällig und mit einer Ablaufzeit (z.B. 15 Minuten) vergeben wird - nach Ablauf einer Session wird man automatisch ausgeloggt und muss sich dann erneut einloggen um eine neue ID zugewiesen zu bekommen.
In diesem Fall wurden diese IDs gecached, also zwischengespeichert, sodass diese ID also offensichtlich nie ablaufen konnte.
Nun haben der eigentlich Partner und ich den selben ADSL-Anbieter, der IP-Adressen dynamisch verteilt. Ich erhielt also zufälligerweise die IP-Adresse des eigentlichen Partners und wurde somit von Shortbooks als 'online' identifiziert und da die Session noch gültig war, war ich eingeloggt, ohne mich aktiv eingeloggt zu haben.
Der Fehler sollte nun beseitigt und Shortbooks.de sollte nun wieder sicher sein. Was man jedoch sieht ist, dass auch die kleinste mathematische Wahrscheinlichkeit ein Sicherheitsloch nicht inexistent machen kann. Ein Diest muss einfach 100%-ig sicher sein, sonst hat man keine Garantie, dass eigene Daten von Drittpersonen eingesehen werden können.
Hier gehts zu den "Beweisfotos":
http://www.geldverdienst.ch/presse/shortbooks_bug.html
_________________
Gruss, Remo
Geldverdienst.ch
Meine Favoriten
.:Safe the original smileys ;-):.
[ Diese Nachricht wurde geaendert von: geldverdienst.ch am 2002-11-21 00:21 ]
_________________
Trigami bringt Sie ins Gespräch
