Sicherheitluecken und geht mich das eigentlich etwas an

Smalltalk
Antworten
cronoik
Beiträge: 2049
Registriert: 18.03.2012 21:13:42
Lizenz eigener Beiträge: GNU Free Documentation License

Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von cronoik » 16.07.2021 21:20:50

Hallo zusammen,

ich moechte mir mal wieder etwas von der Seele schreiben und eure Meinungen dazu einfangen.

Also vor ein paar Wochen bemerkte ich auf einer Webseite eines Weltkonzerns eine Sicherheitsluecke. Die Luecke ist jetzt nicht geeignet den Server zu uebernehmen, aber man kann Daten einsehen die nur sichtbar sein sollten wenn man angemeldet ist und ich empfinde das schon als Problem. Ich habe jetzt nicht versucht ob ich vielleicht ab einer bestimmten Anzahl von Anfragen geblockt werde oder es andere Schutzmechanismen gibt die ein Auslesen aller Daten verhindern wuerden, ich bin aber definitiv in der Lage einzelne Datensaetze zu sehen.

Ich wandte mich daraufhin an die Securityabteilung an die mich laut deren Webseite wenden sollte und beschrieb die Schritte per Mail. Auch einen Screenshot habe ich beigefuegt der zeigte das ich einen einzelnen Datensatz ohne Anmeldung sehen konnte. Es passierte dann erst einmal eine Woche nichts und dann kam die erste Mail die zusammengefasst werden kann als:
SecurityMensch1 hat geschrieben:Hi cronoik, ich habe deine Mail nicht gelesen aber bei uns funktioniert alles wie es soll. Hast du versucht den PC aus- und wieder anzuschalten?
Ich fragte dann ob die beabsichtigte Funktionsweise ist das ich ohne Anmeldung Daten einsehen.
SecurityMensch1 hat geschrieben:Nein das ist nicht beabsichtigt.
Meine Antwort war dann sie dann wohl etwas zutun haben, wie man ja am Screenshot sieht. 8 Stunden spaeter erhielt ich dann eine weitere Mail:
SecurityMensch2 hat geschrieben:Wir koennen das nicht reproduzieren. Schau doch mal ob das Problem bei dir liegt. Viel Glueck.
Ich habe mir dann noch einmal die Muehe gemacht und die Schritte ganz klar aufgeschrieben und mit ein paar unfreundlichen Worten abgesandt.

Jetzt habe ich mir ueberlegt ob ich nicht einfach einen kleinen Exploit schreibe welches die Daten auslesen koennte und dies dann irgendwo oeffentlich mache (selber werde ich das nicht ausfuehren).

Allerdings, frage ich mich was ich hier eigentlich mache. Die Mails schreiben, mich darueber aergern, Exploit schreiben, dass sind alles Dinge fuer die ich nicht bezahlt werde (um es mal so auszudruecken). Wenn die offensichtlich keine Lust haben, dann ist das doch nicht mein Problem.

Was haltet ihr davon?
Hilf mit unser Wiki zu verbessern!

mcb

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von mcb » 16.07.2021 21:30:35

Melde es doch z.B. der heise Redaktion- Wird die Firma schon interessieren wenn sie schlechte Presse haben.

Selber Exploids veröffentliche ist schon heißes Pflaster ... aber da kenne ich mich nicht aus.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von eggy » 16.07.2021 21:30:43

cronoik hat geschrieben: ↑ zum Beitrag ↑
16.07.2021 21:20:50
Jetzt habe ich mir ueberlegt ob ich nicht einfach einen kleinen Exploit schreibe welches die Daten auslesen koennte und dies dann irgendwo oeffentlich mache (selber werde ich das nicht ausfuehren).
Lass es. Grade wenn die auf Hinweise so schlecht reagieren, gibt es vermutlich größeren Ärger.
https://dejure.org/gesetze/StGB/202c.html

Mail an die Redaktion von heise, golem und co ist die bessere Taktik.

JTH
Moderator
Beiträge: 3014
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von JTH » 16.07.2021 21:32:51

Evtl. kann man so was als Normalbürger bei genug Relevanz auch ans BSI weitergeben (IT-Sicherheitsvorfall)? Oder an andere interessierte Gruppen wie Zerforschung.
Manchmal bekannt als Just (another) Terminal Hacker.

Benutzeravatar
whisper
Beiträge: 3155
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von whisper » 16.07.2021 21:35:10

Ich würde das einfach mal z.B. an Heise melden.
Vor vielen Jahren, hatte ich meine erste Webseite bei einem Billig Hoster, dort hätte ich die Datenbanken der Mitkunden auslesen können, auch nett.
Dreimal darfst du raten wie der Hoster reagiert hat auf meine Meldung.
Er wollte mir noch hack Versuche unterstellen, die waren aber gar nicht notwendig. Bin dann gegangen, nachdem ich ihm erklärt hatte wie die Rechte auf seinem Server gesetzt werden müssten...

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von Meillo » 16.07.2021 21:36:03

Schlimm, dass es so etwas gibt!

Wenn ich in der richtigen Stimmung waere, dann haette ich auf die Nachricht von SecurityMensch2 geantwortet, dass wenn sie bei ihnen kein Problem sehen, es dann ja auch nicht schlimm waere, wenn du deinen Exploit in einer Woche im Internet veroeffentlichst. (Wenn kein Securityproblem vorliegt, dann ist das ja weder eine Drohung noch ein Angriff. :-P ) Falls sie doch noch zu der Einsicht koemmen wuerden, dass tatsaechlich ein Problem auf ihrer Seite vorliegt, dann waerst du immer noch (!) bereit, sie an der Hand zu nehmen und ihnen noch ein weiteres Problem zu zeigen wo sie hinschauen muessen. (Du wuerdest noch nicht mal ein Betraterhonorar dafuer nehmen, sondern ganz kostenlos und selbstlos in deiner Freizeit ihnen helfen ...) :facepalm:


Ohne eine Portion Sarkasmus kann man diese Ignoranz ja nicht ertragen ... aber wie heisst es so schoen: Wer nicht lernen will muss spueren. :twisted:

Wobei ich den Vorrednern schon zustimme: Nicht selber veroeffentlichen.
Use ed once in a while!

cronoik
Beiträge: 2049
Registriert: 18.03.2012 21:13:42
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von cronoik » 16.07.2021 22:07:27

Danke schon einmal fuer die Rueckmeldungen. Also ich muss ehrlich sagen, dass ich gestern so drauf war das ich den Exploit direkt mit einer Kopie meines Personalausweises veroeffentlicht haette. Heute geht es mir eher so, dass mir selbst der Weg zur Presse zu weit ist. Denn was wird da denn herauskommen? Irgendein Pressesprecher wird vielleicht irgendetwas sagen. Die Luecke wird geschlossen und dann ist es beim naechsten mal wieder nicht anders. Es haengt jetzt auch kein Menschenleben an dieser Luecke.
Hilf mit unser Wiki zu verbessern!

mcb

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von mcb » 16.07.2021 22:24:36

Oder melde es dem ccc die kennen sich damit aus ...

Ja immer einmal drüber schlafen bevor man seinen Perso kopiert :wink:

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von Meillo » 16.07.2021 22:48:37

cronoik hat geschrieben: ↑ zum Beitrag ↑
16.07.2021 22:07:27
Denn was wird da denn herauskommen? Irgendein Pressesprecher wird vielleicht irgendetwas sagen. Die Luecke wird geschlossen und dann ist es beim naechsten mal wieder nicht anders.
Diese Frustration kenne ich, wenn man tun kann was man will, sie zwar etwas machen aber gar nicht verstehen worum es eigentlich gegangen ist. (Diese Befuerchtung scheinst du zu haben.)

Fuer mich ist in so Situationen der beste Weg aufzuhoeren Personen oder Unternehmen oder Systeme ueberzeugen zu wollen von etwas das sie nicht sehen oder hoeren wollen, egal wie logisch es ist und wie klar es einleuchten muesste. Wenn jemand es nicht sehen will, dann kann man ihn nicht ueberzeugen.

Stattdessen frage ich mich dann wovon ich in der Situation am meisten habe bzw. was ich fuer mich sinnvoll finde. Oft nehme ich dann die konkrete Luecke in mein Erfahrungsrepertoire auf und baue sie vielleicht nach zu Demo-Zwecken. Oder ich analysiere wieso es technisch dazu kommt, dass so Luecken entstehen. Da hilft mir der konkrete Fall als Ausgangsbasis um mein Wissen zu erweitern. Dann wird auch egal ob sie einsichtig werden oder nicht, ich kann in beiden Faellen etwas fuer mich mitnehmen (mit der Frustenergie vielleicht umso mehr).

Und was natuerlich immer hilft: Mit anderen darueber reden. Das hast du ja schon richtig gemacht. :THX:
Use ed once in a while!

Benutzeravatar
MartinV
Beiträge: 788
Registriert: 31.07.2015 19:38:52
Wohnort: Hyperion
Kontaktdaten:

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von MartinV » 17.07.2021 13:32:37

Zwei weitere gute Adressen, an die man das weitergeben könnte:
https://blog.fefe.de/
https://netzpolitik.org/
Die Vernunft kann einem schon leidtun. Sie verliert eigentlich immer.

willy4711

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von willy4711 » 17.07.2021 18:20:01

Die Firma wurde darauf hingewiesen. Was sie daraus macht, ist nun ihr Ding.
Keine Ahnung, warum man da so missionarisch sein will.
Die Unwissenheit in IT- Abteilungen bzw. der Entscheider (natürlich nicht allen) ist teilweise haarsträubend.

Ich habe das selbst als nicht -IT-ler bei einer Großbank erlebt. Ich war dort als externer (also mit normalerweise nur Berechtigung
auf die Verzeichnisse eines bestimmten Servers) . Irgendwann hatte ich dann Schreib und Lesezugriff deutschlandweit auf alles :!:
Den Dienstweg einzuhalten hätte mich dann fast den Job gekostet, weil so ein "externer Dussel" eh keine Ahnung haben kann.
Hab dann einen ehemaligen (entmachteten) IT - Menschen im Hause angesprochen und ihm das gezeigt. Der wurde kalkweiß.
Brauchte dann aber trotzdem mehrer Tage, bis das repariert wurde.
Na wenigstens gab es hinterher (heimliches) ein Schulterklopfen. :P

Ich könnte da Seitenlang erzählen---- lass ich mal lieber.

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von heisenberg » 17.07.2021 19:01:07

Meillo hat geschrieben: ↑ zum Beitrag ↑
16.07.2021 21:36:03
Wenn ich in der richtigen Stimmung waere, dann haette ich auf die Nachricht von SecurityMensch2 geantwortet, dass wenn sie bei ihnen kein Problem sehen, es dann ja auch nicht schlimm waere, wenn du deinen Exploit in einer Woche im Internet veroeffentlichst. (Wenn kein Securityproblem vorliegt, dann ist das ja weder eine Drohung noch ein Angriff. :-P )
Also da wäre ich mal ganz vorsichtig. Es geht um einen Großkonzern. Da sind Mächte im Spiel, wo man ganz schnell mal unter die Räder kommt, wenn man nicht aufpasst, so als kleiner Privatier. Wenn die da Angst vor einem Marketing-GAU bekommen und vorsorglich mal eine eigene Rechtsabteilung darauf ansetzt. Ich möchte da nicht in der Schußlinie sein. Aber es gibt ja Menschen, die sich den Spaß machen am Flughafen in USA darüber Scherze machen, dass sie eine Bombe in der Tasche haben. An der Stelle interessiert sich da wahrscheinlich auch keiner dafür, wenn Du das rechtlich vollkommen korrekt unverbindlich ausgedrückt hättest.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von Meillo » 17.07.2021 19:26:26

willy4711 hat geschrieben: ↑ zum Beitrag ↑
17.07.2021 18:20:01
Die Firma wurde darauf hingewiesen. Was sie daraus macht, ist nun ihr Ding.
Keine Ahnung, warum man da so missionarisch sein will.
Wenn gegebenenfalls meine eigenen Daten oder die von Bekannten unberechtigterweise abgegriffen werden koennen, dann sehe ich darin schon einen Grund aktiv zu werden.

Zudem kann man es so sehen, dass diejenigen, die die technischen Faehigkeiten dazu haben, auch fuer diejenigen aktiv sein sollten, die dem ohnmaechtig ausgeliefert sind.

Falls es sich um personenbezogene Daten handelt ... dann ist es nicht viel anders als zuzuschauen oder einzugreifen wenn jemand in der Fussgaengerzone beleidigt, geschlagen oder bestolen wird, finde ich.
Use ed once in a while!

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von eggy » 17.07.2021 20:02:05

Eine mögliche Variante wäre noch den Datenschutzbeauftragten des Unternehmens zu informieren. Aber auch sowas würd ich nur über Bande machen lassen: ein Verlagsmitarbeiter ist viel weniger in Gefahr, dass die das als Ausspähen und Erpressungsversuch auslegen und Dir Kommissar Neuland auf den Hals hetzen.

cronoik
Beiträge: 2049
Registriert: 18.03.2012 21:13:42
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von cronoik » 17.07.2021 20:51:07

heisenberg hat geschrieben: ↑ zum Beitrag ↑
17.07.2021 19:01:07
Aber es gibt ja Menschen, die sich den Spaß machen am Flughafen in USA darüber Scherze machen, dass sie eine Bombe in der Tasche haben. An der Stelle interessiert sich da wahrscheinlich auch keiner dafür, wenn Du das rechtlich vollkommen korrekt unverbindlich ausgedrückt hättest.
Auch wenn das hier ein bisschen vom Thema abkommt, aber das ist etwas anderes (und natuerlich daemlich). Der passendere Vergleich waere Flughafen X macht etwas falsch und gefaehrdet dadurch etwas (in diesem Fall Daten). Wenn ich jetzt davon weis und nichts tue, dann koennte man doch auch sagen das ich mitschuldig bin. Das ist auch der Grund warum ich das gemeldet habe.
Meillo hat geschrieben: ↑ zum Beitrag ↑
17.07.2021 19:26:26
Falls es sich um personenbezogene Daten handelt ... dann ist es nicht viel anders als zuzuschauen oder einzugreifen wenn jemand in der Fussgaengerzone beleidigt, geschlagen oder bestolen wird, finde ich.
+1
eggy hat geschrieben: ↑ zum Beitrag ↑
17.07.2021 20:02:05
Eine mögliche Variante wäre noch den Datenschutzbeauftragten des Unternehmens zu informieren. Aber auch sowas würd ich nur über Bande machen lassen: ein Verlagsmitarbeiter ist viel weniger in Gefahr, dass die das als Ausspähen und Erpressungsversuch auslegen und Dir Kommissar Neuland auf den Hals hetzen.
Vielleicht bekomme ich ja bei Putin Asyl. :D
Hilf mit unser Wiki zu verbessern!

Benutzeravatar
heisenberg
Beiträge: 3473
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von heisenberg » 17.07.2021 20:56:55

cronoik hat geschrieben: ↑ zum Beitrag ↑
17.07.2021 20:51:07
heisenberg hat geschrieben: ↑ zum Beitrag ↑
17.07.2021 19:01:07
Aber es gibt ja Menschen, die sich den Spaß machen am Flughafen in USA darüber Scherze machen, dass sie eine Bombe in der Tasche haben. An der Stelle interessiert sich da wahrscheinlich auch keiner dafür, wenn Du das rechtlich vollkommen korrekt unverbindlich ausgedrückt hättest.
Auch wenn das hier ein bisschen vom Thema abkommt, aber das ist etwas anderes (und natuerlich daemlich). Der passendere Vergleich waere Flughafen X macht etwas falsch und gefaehrdet dadurch etwas (in diesem Fall Daten). Wenn ich jetzt davon weis und nichts tue, dann koennte man doch auch sagen das ich mitschuldig bin. Das ist auch der Grund warum ich das gemeldet habe.
Ich habe keine Analogie darstellen wollen.

Mein Punkt war: Macht man in so einer Situation einen Scherz, oder kündigt auch nur eine Maßnahme an, die für die andere Seite als große Bedrohung wahrgenommen wird, dann werden bei einem entsprechenden machtvollem Gegenüber Kräfte aktiv, wie man das vielleicht niemals erwartet hätte. Da ist einfach Schluß mit lustig.

Ich sehe hier schon eine auch Form von Wahrnehmung einer persönlichen ethischen Verantwortung von Dir. Du siehst einen Mißstand, zuckst nicht einfach mit den Schultern und gehst weiter, sondern prüfst, welchen Beitrag zum Wohle aller Du in der Situation leisten kannst. Gleichzeitig möchte ich auf eine - für mich sehr reale Gefahr - hinweisen, die ich hier sehe.
... unterhält sich hier gelegentlich mangels wunschgemäßer Gesprächspartner mal mit sich selbst.

Benutzeravatar
hikaru
Moderator
Beiträge: 13559
Registriert: 09.04.2008 12:48:59

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von hikaru » 18.07.2021 18:32:27

cronoik hat geschrieben: ↑ zum Beitrag ↑
16.07.2021 22:07:27
Heute geht es mir eher so, dass mir selbst der Weg zur Presse zu weit ist. Denn was wird da denn herauskommen? Irgendein Pressesprecher wird vielleicht irgendetwas sagen. Die Luecke wird geschlossen und dann ist es beim naechsten mal wieder nicht anders. Es haengt jetzt auch kein Menschenleben an dieser Luecke.
Das ist für mich der springende Punkt.
Natürlich wäre es schönrer, wenn die Firma etwas aus der Sache lernt und generell ihre Arbeitsweise überprüft. Und natürlich stünde dir die Anerkennung für den Hinweis auf den Missstand zu. Aber manchmal muss man sich einfach damit begnügen, das unmitelbare Symptom beseitigen zu können.

Wenn da wirklich perönliche Daten öffentlich sind, dann sind die möglicherweise für irgendwen sensibel, auch wenn sie es für dich selbst nicht sind. Daher wäre es im Interesse der anderen Kunden wünschenswert, wenn du darauf hinarbeitest, dass das Problem behoben wird.
Also, gib dir einen Ruck und melde das bei irgendeinem halbwegs vertrauenswürdigen IT-Profi der Druck auf die Firma ausüben kann! Bei wem genau ist nicht so wichtig. Vorschläge gab es hier im Thread ja genug.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Sicherheitluecken und geht mich das eigentlich etwas an

Beitrag von TRex » 18.07.2021 18:42:58

Bist du sicher, dass du die Security-Leute erwischt hast? Als ich vor kurzem was ähnliches gefunden hab (keine Leaks, aber ne einfache Möglichkeit zum denial of service), musste ich erstmal fünf Mails mit einer vom Helpdesk austauschen, bevor sie das endlich mal an jemanden mit Kompetenz weitergegeben hat. Meine Sorge wäre entsprechend, dass die von dir gemeldete Lücke ohne entsprechende Bestätigung nie gefixt wird. Ich denke, ne Mail an die Redaktion von heise ist nicht besonders viel Aufwand (dazu screenshots oder sowas, um die Lücke zu beweisen, muss ja kein exploit sein).
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht


Antworten