Archiv 13. Juni 2007

Mittwoch, 13. Juni 2007

AirFrance bastelt

Warning: mysql_connect(): Access denied for user 'player3'@'server213-171-219-247.livedns.org.uk' (using password: NO) in \\nas17ent\domains\f\flyairfrance.com\user\htdocs\de\ping\gen-inc.php on line 54

Warning: mysql_select_db(): Can't connect to MySQL server on 'localhost' (10061) in \\nas17ent\domains\f\flyairfrance.com\user\htdocs\de\ping\gen-inc.php on line 55

Warning: mysql_select_db(): A link to the server could not be established in \\nas17ent\domains\f\flyairfrance.com\user\htdocs\de\ping\gen-inc.php on line 55

Quelle: flyairfrance.com/de/ping/highscore.php

Diese Meldung trudelt im Hintergrund ein, wenn man ein Air France-Flash-Game spielt, mit dem man einen Flug nach London gewinnen kann. Könnte, denn wenn die Highscores nicht in die Datenbank gespeichert werden können, gibt es folglich auch keine Teilnehmer, unter denen der Flug auszulosen gilt …

Feststellungen

  • Die MySQL-Datenbank wird ohne Passwort angesprochen – ist das der eigentlich Fehler? Falls nicht, wäre mir etwas mulmig zu Mute …
  • Es scheint sich um einen Windows-Server zu handen, was man anhand der Backslashes in den Pfad-Angaben erkennt *schauder*
  • Die Scripts werden über einen File-Server (?) namens ’nas17ent‘ und dessen Share ‚domains‘ eingebunden
  • Auf Produktivsystemen sollte keine einzige PHP-Fehlermeldung an den Browser gesendet werden. Solche Dinge gehören in das lokale error.log von PHP. Für Tests aktiviert man E_ALL auf dem … Testsystem.
  • Hat den Fehler noch niemand bemerkt?!

Tags:
Labels: Web

Keine Kommentare | neuen Kommentar verfassen

Mittwoch, 13. Juni 2007

Der AutoScout24-Hack

Disclaimer: Ich habe rein gar nichts mit dem Hack zu tun. Meine zwei Verbindungen zum Unternehmen: a) Anscheinend habe ich auf der Web-Site vor langer Zeit einmal einen Account eröffnet und b) Der Sitz befindet sich in Sichtweite von meinem Zuhause, ca. 2km 580m Luftlinie (mit Google Earth nachgemessen).

Gestern Abend erreichte mich folgendes Mail:

Sehr geehrte Kundin, sehr geehrter Kunde

Immer wieder kann es vorkommen, dass gerade erfolgreiche Online-Anbieter das Ziel von Hacker-Angriffen werden. So wurde auch AutoScout24 von Hackern „besucht“.

Dank unserer hoch entwickelten technischen Überwachungssysteme konnten wir den versuchten Angriff aber ebenso schnell registrieren wie abwehren. Über die Identität und die Absichten der Hacker haben wir derzeit keine Anhaltspunkte. Bislang ist es aber zu keinen Unregelmässigkeiten auf unserer Plattform oder in Kunden-Accounts gekommen.

Die Sicherheit Ihrer Daten ist für AutoScout24 immer vorrangig. Wir haben uns deshalb entschlossen, heute ab 20.00 Uhr sämtliche Passwörter unserer Kundinnen und Kunden zurück zu setzen. Diese Massnahme hat rein präventiven Charakter und bietet das Höchstmass an Sicherheit nach einem abgewehrten Hacker-Angriff.

    Benutzername:  user
    Ihr neues Passwort lautet: password
    Link zur Passwortänderung:  http://www.autoscout24.ch/AS24Member/Login.aspx?wl=1&lng=ger

Bitte loggen Sie sich umgehend mit ihrem neuen, oben stehenden Passwort ein und ändern Sie es gleich nach Ihren Wünschen wieder ab. Klicken Sie dazu auf den Button „Passwort ändern“.

Benutzen Sie aber auf keinen Fall das Passwort, das Sie bislang auf unserer Plattform verwendet haben. An dieser Stelle möchten wir unsere Sicherheitsempfehlung wiederholen, alle Ihre Passwörter einmal im Monat zu ändern.

Wenn Sie weitere Fragen dazu haben kontaktieren Sie bitte unseren Kundendienst unter der Nummer: 031 744 21 31 oder schreiben Sie uns eine E-Mail an: info@autoscout24.ch

Quelle: E-Mail von info@autoscout.ch an mich, 12. Juni 2007, 22.34 Uhr

Partyguide sollte sich daran ein Vorbild nehmen!

So machen es die Semi-Profis (Profis müssten nie ein solches Mail versenden, weil es nichts zu hacken gibt):

  • Systeme werden konstant auf verdächtige Aktionen überwacht
  • Im Zweifelsfalle werden Passwörter aller Kunden zurückgesetzt
  • Kunden werden umgehend über das Problem und dessen (vermuteten) Umfang informiert
  • Kunden werden explizit darauf hingewiesen, dass es äusserst töricht wäre, wieder auf das alte Passwort zu wechseln
  • Der Anbieter gibt Tipps, die über den Vorfall hinaus gültig sind (Passwörter regelmässig wechseln)
  • Angabe einer E-Mail-Adresse und einer Telefonnummer, um mit dem Anbieter in Kontakt zu kommen

Das Tüpfchen auf den i wäre nun nur noch, wenn der Anbieter es unmöglich machen würde, das vorherige Passwort erneut zu verwenden.

Unpassend finde ich aber folgenden Satz:

Immer wieder kann es vorkommen, dass gerade erfolgreiche Online-Anbieter das Ziel von Hacker-Angriffen werden. So wurde auch AutoScout24 von Hackern „besucht“.

Hacker-Angriffe passieren – das bestreitet niemand ab. Es besteht aber ein himmelgrosser Unterschied, ob ein Angriff stattgefunden hat oder aber ob er tatsächlich erfolgreich war. Hier scheint letzterer Fall vorzuliegen – eine Verniedlichung ist definitiv nicht angebracht!

Tags: ,
Labels: Web

Keine Kommentare | neuen Kommentar verfassen