Partnernetzwerk für Taucher gestartet: TaucherVerzeichnis.de - gemeinsam abtauchen! Einfach Gleichgesinnte finden.

just another boring weblog


Dieses WebLog gehört quan.



Zur WebLog-Startseite

Kategorienzuordnung(en)

Meine Seiten


Folgende Seiten sind zusätzlich zu diesem WebLog abrufbar

Meine Links


Folgende Links werden empfohlen
Alle bzw. weitere Links mit Beschreibung ansehen

RSS-Feed

RSS FeedWenn Du für deinen RSS-Leser dieses WebLog abonnieren willst, klicke auf das RSS-Logo. Dieses ist zum RSS-Feed verlinkt!

Weitere WebLogs

Schau Dir doch auch weitere WebLogs dieser Community an oder erstelle selbst ein eigenes!

...weitere WebLogs

neuerer Beitrag | älterer Beitrag
Kategoriefilter ist aktiv: Filter deaktivieren

Reaktion von mitfahrgelegenheit.de auf Sicherheitslücke
geschrieben am 15.12.2007, 18:50:04. Kategorie(n): Netzgeschichten, Da läuft was falsch!.
In zwei Beiträgen meines Weblogs (Ursprungsbeitrag, Folgebeitrag) hatte ich aufgezeigt, dass es bei mitfahrgelegenheit.de auf einfachste Weise möglich gewesen wäre, wohl mehrere zehntausend persönliche Emailadressen der Mitglieder auszulesen. Wie versprochen wollte ich darüber berichten, wenn es in der von mir in meinem Weblog aufgezeigten Datenschutz-Sicherheitslücke von mtifahrgelegenheit.de etwas Neues gibt. Nun ist es so weit, man hat reagiert.

Telefonisch wurde ich bereits am Tag darauf informiert, dass die Lücke geschlossen wurde. Die Emailadressen, an welche die Passwörter verschickt wurden, sind nun nicht mehr öffentlich einsehbar.

Scheinbar hat man, gerade nachdem das Problem an die Öffentlichkeit getragen wurde, nun den Schutz der persönlichen Daten der Mitglieder etwas ernster genommen...

Komischerweise wurde übrigens mein Account bei mitfahrgelegenheit.de gelöscht. Sobald ich mich dort einloggen will, kommt die Meldung, dass mein Konto deaktiviert worden sei. Als mögliche Grunde wurde aufgeführt: "Verstoß gegen unsere AGBs, Verstoß gegen das Personenbeförderungsgesetz, Wiederholte Beschwerde anderer Nutzer, Verdacht kommerzieller Fahrten, Unvollständige Angaben bei der Registrierung, Konto wurde von Ihnen gelöscht oder Sonstiges". Ich habe einen der Geschäftsführer natürlich auch angeschrieben, warum denn nun das Konto deaktiviert wurde. In meinen Augen ist das schon etwa willkürlich, wie mit meinem Account umgegangen wird. Vielmehr sollte man sich bedanken, dass man die Lücke gefunden hat und darauf hingewiesen hat, bevor eventuell jemand damit Schaden anrichtet und sich bei allen entschuldigen, dass man nicht schon auf mein erstes Email reagiert hat.

Naja - die Gründe werde ich wohl noch erfahren und sollte es zudem noch etwas weiteres Neues in diesem Fall geben, werde ich natürlich weiterhin berichten.

Seitenaufrufe: 2023

neuerer Beitrag | älterer Beitrag


Kommentare zu diesem Artikel
  • Von , geschrieben am 16.12.2007, 11:57:20: (ID: 217)
    hallo flo

    das sehe ich etwas zweigeteilt.

    1.) der serveradmin sollte froh darüber sein, wenn ihm jemand sicherheitslücken/schwachstellen benennt, damit er diese abstellen kann..ohne frage! nobody is perfect.

    2.) setze dieser jemand jedoch ein script oder ein tool an, um einen fremden server mit anfragen zu bombardieren, dann ist das eine ganz gewöhnliche DoS (Denial of Service) attacke.

    das antwortverhalten des servers geht oftmals in die knie, die logs laufen voll (sofern nicht fifo), der replikationsverkehr steigt immens (sofern cluster o.ä.), und gesichert werden diese logs auch noch. es kann zum serverstillstand kommen. das möchte kein admin wirklich. einen gefluteten server wieder zum leben zu erwecken ist nicht ganz so trivial als bei einem pc. ich denke, dass du solche situationen sehr gut einschätzen kannst. die xenia hat ja manches mal auch richtig gezickt.. icon_wink

    welche finanziellen auswirkungen das haben kann, das überlasse ich deiner phantasie.

    grüsse von lutz



  • Von quan, geschrieben am 16.12.2007, 12:33:33: (ID: 218)
    Hallo Lutz,

    ob man das gleich soweit werten kann halte ich für etwas fraglich, denn ein einzelner Server, der so einfache Abfragen startet, wird wohl kaum in der Lage sein, ein großes (mit Sicherheit verteiltes) System lahmzulegen, zumal die Abfragen nacheinander und nicht einmal parallel stattgefunden haben.
    Zudem war die Erreichbarkeit der Seite zu jedem Zeitpunkt natürlich auch gegeben...

    Nach eigenen Angaben hat MItfahrgelegenheit.de ca. 600.000 Nutzer und verzeichnet 27 Millionen Seitenaufrufe am Tag, also fast eine Million am Tag. Die wahrscheinlich nicht einmal rechenintensiven Aufrufe des Scriptes (Grundgerüst der Seite sowie eine einzige Datenbankabfrage) sind da nicht wirklich geeignetes Mittel, um das ganze als DOS abzustempeln.

    Die Probleme die Xenia hatte waren (leider) damals auf einen Programmierfehler zurückzuführen...

    Flo