Samstag, 1. September 2007

Parallelen zum dritten Partyguide-Hack

Underscoring a major susceptibility threatening thousands of high-profile computer users across the world, a Swedish security consultant has published login credentials belonging to some 100 embassies.

Quelle: Mystery SNAFU exposes email logins for 100 foreign embassies (and counting)

Beim dritten Partyguide-Hack veröffentlichte ich 13’000 Passwörter von Benutzerkonten der Online-Community Partyguide. Zum Zeitpunkt der Veröffentlichung des Blog-Artikels (Samstag, 9. Juni 2006) waren die Passwörter der komprimittierten Accounts aber bereits von den Verantwortlichen zurückgesetzt worden.

„It will only take 10 minutes and every script kiddie is going to be using the exact same method,“ he told The Reg. „I’m probably not the first one grabbing these passwords, but I’m absolutely the first one publishing them.“

Die Sicherheitslücke entdeckte ich während der Programmierung einer Suchfunktion für Partyguide-Benutzer (was bringt eine Suchfunktion, wenn man nicht auch gleich das Bild der gefundenen Benutzern präsentiert erhält). Nachdem ich beim Zugriff auf das AJAX-Such-Script auf Grund falsch formulierter GET-Parameter SQL-Errors zu Gesicht bekam, versuchte ich mich einer SQL-Injection. Leider führte dies zu keinem Erfolg. Umso erstaunter war ich, als ich der Suchabfrage einfach ein Parameter user_search.php?bla=bla...&password=123456 beifügte – und als Resultat alle Benutzer präsentiert erhielt, die dieses Passwort gesetzt hatten. Diese Lücke war selbst für Script-Kiddies schon fast zu einfach …

Ob vor mir bereits jemand auf diese Lücke aufmerksam geworden ist und diese ausgenutzt hat, weiss ich nicht. Die Entwickler hinter Partyguide wohl auch nicht. Schliesslich wurden sie auf den Hack nur aufmerksam, weil ich während sieben Tagen zehntausende von Anfragen auf das Suchscript losfeuerte. Die Sicherheitslücke wurde nach der Entdeckung durch die Partyguide-Entwickler innert Stunden gefixt. Ich war der erste, der die Lücke öffentlich machte (Partyguide hat bis heute zu keiner der von mir veröffentlichten Sicherheitslücken und Datenlecks weder öffentlich Stellung genommen noch seine Benutzer informiert).

Egerstad’s list offers a rare glimpse into the password robustness, or lack thereof, of various countries. At the top of the list was Uzbekistan, where a typical password looks something like „s1e7u0l7c.“ Surprisingly, the ultra-secret Iran was near the bottom of the list; passwords for its various embassies tended to be the city or country in which the embassy resides. The Hong Kong Liberal Party used „12345678“ while one for an Indian embassy was simply „1234.“

Auch ich liess es mir im Nachgang zur Veröffentlichung der Lücke nicht nehmen, die Liste der Zugangsdaten nach häufigen Passwörtern zu durchforsten.

Egerstad’s decision to publish the account details online is sure to reignite the frequent debate about whether such full disclosure is irresponsible because it simply allows a broader base of people to misuse the information. He says he’s well versed in the merits of responsible disclosure but decided that posting the login details was the only way to get the attention this problem deserves.

„I don’t have time calling all over the world to tell them something they won’t understand or listen to,“ Egerstad said. „I’m probably going to get charged for helping to commit a crime. I don’t really care.“

Eine ähnliche Diskussion hat sich auch bei der Veröffentlichung meiner Erkenntnisse entfacht. Und auch ich forderte Partyguide auf, ein Gericht über die Illegalität meiner Handlungen entscheiden zu lassen. Nun, Letzteres bahnt sich mittlerweile an.

Nachtrag: „Millionenraub“ auch bei Monster.com

[…] As is the case with many companies that maintain large databases of information, Monster is from time to time subject to attempts to illegally extract information from its database.

As you may be aware, the Monster resume database was recently the target of malicious activity that involved the illegal downloading of information such as names, addresses, phone numbers, and email addresses for some of our job seekers with resumes posted on Monster sites.

The Company has determined that this incident is not the first time Monster’s database has been the target of criminal activity. […] While no company can completely prevent unauthorized access to data, […]

Quelle: Security Notice

Liked this post? Follow this blog to get more. 

Tags: ,
Labels: Web

Kommentar erfassen