Einsicht in Einzelverbindungsnachweise
Massives Datenleck bei 1 und 1
Wie schlimm ist die Sicherheitslücke?
Wichtig ist zu erwähnen, dass die Lücke zwar gravierend ist, Angreifer aber weder Zugriff auf persönliche Daten erhalten, noch den 1&1-Account übernehmen können. Man kann „lediglich“ sehen, wer mit wem telefoniert, was allerdings ein massiver Eingriff in die Privatsphäre ist.
Die Schwachstelle selbst kann jeder Laie ausnutzen. Einzige Voraussetzung ist, dass man selbst auf eine Rechnung zugreifen kann. Lässt sich der Nutzer seine einzelnen Verbindungen anzeigen, übergibt das System die Rechnung samt passender ID an die Adresszeile des Browsers. Ändert ein Nutzer nun den Wert für das Feld &select.RechnungID=,
so zeigt das System die Rechnung mit der entsprechenden ID an. Das Problem liegt darin, dass nicht mehr geprüft wird, ob der jeweilige Nutzer auch zur Ansicht der Rechnung berechtigt ist.
Details zur Sicherheitslücke
Diese Lücke ist ein klassisches Beispiel für einen Programmierfehler. Das Kundensystem legt fest, welche Rechnung der Kunde zu sehen kriegt. Im Einzelverbindungsnachweis wird allerdings nicht mehr geprüft, ob der Kunde auch berechtigt ist, diese Rechnung zu sehen, also das entsprechende Kunden-Konto und die Rechnungs-ID zueinander passen.