just another boring weblog

Datenschutz ist so eine Sache. Nur ungern gibt man überall alle möglichen, privaten Daten an. Email-Adressen gebe ich meist auch sehr ungern heraus, da dies oftmals eine Flut der Werbemails fördern kann. Wer hier bei NetBiker.de z.B. seine Emailadresse angibt, der kann sicher sein, dass wir diese nicht weitergeben oder dass diese durch andere Mitglieder oder sogar unregistrierte Benutzer ermittelbar ist. Leider sieht es nicht überall so aus. Bei Mitfahrgelegenheit.de sieht man das scheinbar etwas anders.

Bei Mitfahrgelegenheit.de bin ich selbst schon sehr lange angemeldet. Hier kann man Mitfahrgelegenheiten finden. Sowohl als Fahrer wie als Mitfahrer findet man hier Leute, durch die man die Fahrtkosten senken kann. Schon sinnvoll, so ein Service, den ich selbst auch öfters erfolgreich schon genutzt habe. Leider nimmt man es dort aber mit den Daten der Mitglieder in meinen Augen nicht ganz so genau.

Als ich vor einiger Zeit meine Zugangsdaten für diesen Service vergessen hatte, habe ich den „Passwort-Vergessen“ Link auf der Seite benutzt, um mir meine Daten zusenden zu lassen. Entweder beantwortet man dann eine kurze Frage (die man zuvor definiert hat) um wieder zu seinem Account zu kommen oder – wie ich es machen wollte – man lässt sich das Passwort per Email neu zusenden.

Ärgerlich fand ich dann jedoch die Tatsache, dass die Emailadresse, an welche die Passwortdaten einsehbar waren, offen angezeigt wurde. D.h. jeder kann daher fÃ�r alle Benutzernamen die Email-Adressen sich anzeigen lassen.

Umständlich – wer wird das machen? Da tippt man sich ja die Finger wund? Es wäre sicherlich interessant und vielleicht sogar lukrativ für Spammer, so viele Email-Adressen abzugreifen, die wahrscheinlich auch regelmäßig abgefragt werden. Ich habe das dann mal auf meine Community übertragen und bin zu dem Entschluss gekommen, dass ich das nicht dulden würde, wenn man so einfach die Email-Adressen meiner Mitglieder herausfinden und speichern könnte.

Deswegen habe ich am 28.08.2007 auch ein Email an die Macher der Seite geschickt und sie auf den Missstand hingewiesen und mitgeteilt, dass man so sehr einfach sehr viele gÃ�ltige Email-Adressen aus der Datenbank von Mitfahrgelegenheit.de auslesen könnte. Daraufhin bekam ich eine Antwort, dass der Fehler umgehend abgestellt werden sollte und man bedanke sich zugleich für den Hinweis.

Soeben habe ich die Seite einmal wieder besucht und festgestellt, dass man hier absolut nichts in diesem Punkte nachgebessert hat. Schaut man sich die Formulare der Seiten an, die einem das Passwort wieder zusenden wollen, sieht man genau, über welche Scripte am Server was läuft.

Über den Aufruf des Links http://www.mitfahrgelegenheit.de/lookup/sendpwd_sql.php?username=peter als Beispiel werden dem Benutzernamen „Peter“ seine Zugangsdaten zugeschickt. Die Ausgabe erfolgt am Bildschirm. Die Emailadresse werde ich einmal nicht darstellen. Man kann beliebige Namen dort einsetzen und sieht entweder die Emailadresse des Mitglieds oder eben nichts, wenn es kein Mitglied mit dem Benutzernamen gibt. Soweit ja logisch.

Wie kann man das aber nun „sinnvoll“ verarbeiten? Ganz einfach. Man nehme sich eine Datei, die aus einer Namensliste besteht oder einem Wörterbuch und probiert per automatisierten Skript mögliche Benutzernamen durch. Man kann auch die „Brute-Force“-Methode anwenden, d.h. alle beliebigen Buchstaben- und Zahlenkombinationen so testen. Das dauert zwar sicher etwas länger, aber ich denke nicht, dass eine solche Abfrage schnell genug bemerkt würde.

Die Ausgabe der Internetseite kann man dann bequem im Script weiterverarbeiten: Das Script durchsucht die Ausgabe einfach nach dem Satz „wurden an die bei uns gespeicherte E-Mail Adresse“ und nimmt die dahinter angeführte Emailadresse aus der Seite heraus. Dann brauchen wir die Emailadresse nur noch in einer Datenbank oder Datei speichern. Kommt der Satz nicht vor, wird das Ganze einfach noch mal mit dem nächsten Benutzernamen probiert, der in der abzuarbeitenden Liste steht usw… Ist das ganze zu Ende haben wir wahrscheinlich etliche tausend gültige Emailadressen gewonnen.

So etwas zu programmieren ist eigentlich relativ einfach; dafür reichen schon gewisse Grundkenntnisse aus. Mal sehen wie lange Mitfahrgelegenheit.de diese Lücke noch offen lässt. Mehr als zweieinhalb Monate sind ja schon vergangen…

Wenn ich einmal Langeweile bekomme kann ich ja kurz ein Skript programmieren und so aufzeigen, was diese Lücke wirklich bedeutet...

Seitenaufrufe: 1745