Um diese ursprünglich durch schlampige Programmierung verursachte Schadenssumme geht es in der ganzen Partyguide-Posse. Der CTO hat am Mittwoch aber angekündigt, dass der Betrag durchaus noch höher ausfallen könnte, weil man das ganze Ausmass der von mir aufgedeckten und öffentlich gemachten Datenlecks bei Partyguide noch nicht überblickt.

Partyguide: Fake Account I
Originally uploaded by emeidi

Letzten Mittwoch, einige Stunden vor der Einvernahme vor Gericht (ohne anschliessende Hauptverhandlung), packte mich die Neugier: Hat Partyguide aus all den aufgedeckten Problemen der letzten 18 Monate etwas gelernt?

Mich nahmen insbesondere folgende zwei Punkte wunder:

• Wurden die Sicherheitsanforderungen an Passwörter verschärft?
• Wurde das Registrieren von gefälschten Benutzerkonten unterbunden?

Die Antwort ist vernichtend: Nein.

Mir war es am Mittwoch, 15. August 2007, möglich ein Benutzerkonto auf den Namen ‚art143bis‘ zu eröffnen und als Passwort den Benutzernamen zu verwenden. Auch überprüft das Script nicht, wie logisch die persönlichen Angaben sind. Weder scheint Partyguide eine Mindestlänge für Formularwerte festgelegt zu haben, noch werden Postleitzahl und Telefonnummer auf Plausibilität geprüft.

Wieso macht man das? Eine Vermutung gibt es: Man will sich nicht nur als „meistbesuchte“ Party-Community in der Schweiz feiern, sondern auch als diejenige mit den meisten (gefakten) Benutzern. Dabei sollte doch auch Partyguide realisieren, dass nicht die Quantität der Benutzer eine Rolle für den Marktwert spielt, sondern deren Qualität …

Tilllate, Lautundspitz, Usgang – prüft ihr neue Benutzer auch so lasch?

Nebenbei …

Partyguide: HTTP 404
Originally uploaded by emeidi

Dafür kann ich nun wirklich nichts!

Nachtrag: Partyguide scheint Zugriffe von meiner IP auf die Fehlerseite umzuleiten …