Samstag, 10. Juni 2006

Der dritte Partyguide-Hack

In der letzten Woche standen 13’787 Accounts auf www.partyguide.ch offen.

Durch einen extrem peinlichen Fehler (für Partyguide nicht das erste Mal) war es jedermann (!) möglich, dank einer manipulierten Anfrage an das AJAX-Benutzer-Such-Script beliebige Felder der MySQL-Tabelle abzufragen, die alle Benutzerdaten enthielt. Neben Vornamen, Nachnamen, Geburtstdatum stand auch das Passwort-Feld jeglichen Anfragen offen.

Dank einer relativ simplen Dictionary-Attack war es mir innert weniger Tage möglich, Passwörter von über 13’000 Accounts freizulegen:

pg-search.mad4you.homeip.net

Deshalb erneut die Warnung an alle leichtgläubigen Surfer: Partyguide.ch nimmt es mit dem Datenschutz überhaupt nicht ernst. Besprecht persönliche und private Anliegen NIE über diese kohärent unsichere Plattform. Sie verdient euer Vertrauen nicht, weil sie von einem unfähigen PHP-Programmier entwickelt wurde, der grundlegende Sicherheitsaspekte nicht berücksichtigt hat. Ihm scheint es egal zu sein, wenn unberechtigte Benutzer auf fremde Konten zugreifen können.

Immerhin scheint der Sysadmin meine gesteigerten Anfragen auf das AJAX-Script bemerkt zu haben. Gestern Donnerstag oder heute Freitag lud er dann selbst das .csv-File von meiner Site herunter, änderte das Passwort aller kompromittierter Benutzer und teilte ihnen dies auch mit:

Hallo <username>

Dein Passwort auf PartyGuide.ch wurde aus Sicherheitsgründen geändert
und lautet neu:

JasonIsTheBest

Bitte beachte die Gross- und Kleinschreibung. Du kannst es jederzeit
ändern unter myPage -> mySettings [ändern?!], bitte achte aber auf die
Passwort-Richtlinien. Dein Passwort sollte mindestens 8 Zeichen lang
sein und sowohl Buchstaben als auch Zahlen enthalten. Benutze niemals
deinen Namen, Geburtsdatum oder dergleichen als Passwort.

Besten Dank & liebe Grüsse
PartyGuide.ch Team

Dank dem .csv-File scheint es versierten Nutzern ein leichtes zu sein, zu überprüfen, ob die fahrlässigen Benutzer in Bälde ihr Passwort wieder auf den Standard-Wert zurücksetzen (als ich heute versucht habe, einen Account mit dem Passwort ‚123456‘ zu erstellen, hat dies ohne Komplikationen geklappt. Jungs von PG, ihr seid einfach *irre*!).

Natürlich schweigt man sich auf den plötzlichen Wechsel des Passwortes aus. Nein, man informiert die Nutzer nicht, dass ihr gewähltes Passwort, das evtl. auch für den E-Mail-Account verwendet wird, gefährdet ist. Typisch Partyguide. Hauptsache, niemand bekommt vor der konkreten Tragweite etwas mit.

Übrigens: Auch (jetzt unerwähnt gelassene) Konkurrenten schienen bis auf meinen Hinweis („Hey, wieviele User haben bei euch das Passwort 123456“) völlig hemmungslos erlaubt zu haben, unsichere Passwörter zu verwenden. Pfui. Immerhin haben sie vorsorglich reagiert.

Liked this post? Follow this blog to get more. 

Tags:
Labels: Allgemein

Kommentar erfassen