Einsicht in Einzelverbindungsnachweise

Massives Datenleck bei 1 und 1

Wie schlimm ist die Sicherheitslücke?

Wichtig ist zu erwähnen, dass die Lücke zwar gravierend ist, Angreifer aber weder Zugriff auf persönliche Daten erhalten, noch den 1&1-Account übernehmen können. Man kann „lediglich“ sehen, wer mit wem telefoniert, was allerdings ein massiver Eingriff in die Privatsphäre ist.

Internet-Dienste: Die Auskunft über Web-Zugänge.
Internet-Dienste: Die Auskunft über Web-Zugänge.

Die Schwachstelle selbst kann jeder Laie ausnutzen. Einzige Voraussetzung ist, dass man selbst auf eine Rechnung zugreifen kann. Lässt sich der Nutzer seine einzelnen Verbindungen anzeigen, übergibt das System die Rechnung samt passender ID an die Adresszeile des Browsers. Ändert ein Nutzer nun den Wert für das Feld &select.RechnungID=, so zeigt das System die Rechnung mit der entsprechenden ID an. Das Problem liegt darin, dass nicht mehr geprüft wird, ob der jeweilige Nutzer auch zur Ansicht der Rechnung berechtigt ist.

Verräterische ID: Wird der hier gezeigte Wert geändert, erhielt man Zugriff auf andere Rechnungen.
Verräterische ID: Wird der hier gezeigte Wert geändert, erhielt man Zugriff auf andere Rechnungen.

Details zur Sicherheitslücke

Diese Lücke ist ein klassisches Beispiel für einen Programmierfehler. Das Kundensystem legt fest, welche Rechnung der Kunde zu sehen kriegt. Im Einzelverbindungsnachweis wird allerdings nicht mehr geprüft, ob der Kunde auch berechtigt ist, diese Rechnung zu sehen, also das entsprechende Kunden-Konto und die Rechnungs-ID zueinander passen.