Wie würden Sie sich fühlen, wenn jedermann Ihre Verbindungsdaten einsehen kann? Also sieht, wann Sie von welcher Telefonnummer aus wie lange mit welcher Gegenstelle telefoniert haben, und was Sie das gekostet hat? Oder welche DSL-Verbindung Sie zuhause nutzen? Vor allem die Verbindungsdaten sind nichts, was man mit der Öffentlichkeit teilen möchte.
Wie ein TecChannel-Leser aber bei der Durchsicht seiner Rechnungen feststellte, sind genau diese sensiblen Daten bei 1 & 1 völlig ungeschützt. Wie Tecchannel-Tests bestätigen, zeigt die Seite der Einzelverbindungsnachweise nach einer simplen Modifikation der URL statt der eigenen Nutzerdaten die Verbindungsdaten anderer Kunden.
TecChannel hat 1 & 1 bereits informiert, damit die Sicherheitslücke schnellst möglich geschlossen werden kann. Pressesprecherin Ingrun Senft versichert uns gegenüber, dass 1&1 die Lücke sehr ernst nehme. Man sei zuversichtlich, das Problem schnell in den Griff zu bekommen.
Update 02.02.2009 16:50: Als Gegenmaßnahme hat 1&1 den Zugriff auf Einzelverbindungsnachweise vorübergehend deaktiviert. Laut der Sprecherin Ingrun Senft soll die Anzeige der Einzelverbindungsnachweise voraussichtlich im Laufe des heutigen Tages wieder möglich sein. Nach eigenen Angaben ist 1&1 noch kein Missbrauchsfall bekannt.
Update 03.02.2009: Wie uns 1&1 per E-Mail mitteilt, ist die Sicherheitslücke behoben und der Zugriff auf EVNs wieder möglich. Die Kundeninformationen werden nun korrekt abgefragt, ein Zugriff auf andere Verbindungsnachweise war in unserem Test nicht mehr möglich.
Wie schlimm ist die Sicherheitslücke?
Wichtig ist zu erwähnen, dass die Lücke zwar gravierend ist, Angreifer aber weder Zugriff auf persönliche Daten erhalten, noch den 1&1-Account übernehmen können. Man kann „lediglich“ sehen, wer mit wem telefoniert, was allerdings ein massiver Eingriff in die Privatsphäre ist.
Die Schwachstelle selbst kann jeder Laie ausnutzen. Einzige Voraussetzung ist, dass man selbst auf eine Rechnung zugreifen kann. Lässt sich der Nutzer seine einzelnen Verbindungen anzeigen, übergibt das System die Rechnung samt passender ID an die Adresszeile des Browsers. Ändert ein Nutzer nun den Wert für das Feld &select.RechnungID=, so zeigt das System die Rechnung mit der entsprechenden ID an. Das Problem liegt darin, dass nicht mehr geprüft wird, ob der jeweilige Nutzer auch zur Ansicht der Rechnung berechtigt ist.
Details zur Sicherheitslücke
Diese Lücke ist ein klassisches Beispiel für einen Programmierfehler. Das Kundensystem legt fest, welche Rechnung der Kunde zu sehen kriegt. Im Einzelverbindungsnachweis wird allerdings nicht mehr geprüft, ob der Kunde auch berechtigt ist, diese Rechnung zu sehen, also das entsprechende Kunden-Konto und die Rechnungs-ID zueinander passen.
Fazit
Diese Lücke zeigt eindringlich, wie wichtig eine saubere Programmierung von Web-Applikationen ist. Denn egal, welche Lücke in einem System enthalten ist, irgendwann wird immer jemand darauf stoßen. Darum müssen auch Log-Dateien regelmäßig kontrolliert und ausgewertet werden. Denn wenn Unregelmäßigkeiten auftreten, muss der Betreiber diese erkennen und entsprechend handeln können.
Besonderes Augenmerk sollten Sie in jedem Fall auf „gewachsenen Systemen“ richten. Damit meinen wir Anwendungen und Web-Dienste, die immer wieder erweitert und mit zusätzlich Funktionen versehen werden. Denken Sie in jedem Fall auch an eine vollständige und saubere Dokumentation Ihrer Arbeit. (mja)
Wie Sie Angriffe auf Web-Anwendungen erkennen, verstehen und abwehren können, erfahren Sie auf unserem TecChannel-TrainingDay am 18.02.2009. Weitere Informationen zu dieser Veranstaltung finden Sie hier.