09.10.2012

Euroweb - Großmäuler können triviales Sicherheitsproblem nicht beseitigen

Das schon am Freitag abend beschriebene Euroweb-Sicherheitsproblem ist eigentlich kaum zu übersehen und auch einfach zu beseitigen. Allerdings nur wenn man sich hierbei mit dem von der Euroweb verwendeten Content-Management-System und natürlich dem Internet an sich auskennt. Vor allem aber muss man dazu wissen, was man tut.

Auf der Webseite Euroweb.de hält die Euroweb Internet GmbH für ihre Kunden ein, eigentlich zwei, Formular(e) bereit. Ich habe mir beide angesehen, beide sind - unter Sicherheitsaspekten gesehen - mit dem Wort "unbenutzbar" richtig bezeichnet.

Figur 1: Formulare mit Javascript

Figur 2: Formulare ohne Javascript

Wozu auch immer diese Unterschiede gut sein sollen - ich vermute ja sogar, der "Oberspezialist von einem Eurobweb-WebDesigner" weiß von diesem zweiten Formular gar nichts... Fakt ist: Beide Varianten führen, wenn man diese benutzt, dazu, dass Anmeldedaten der Kunden Dritten bekannt werden können.

Im folgenden konzentriere ich mich zunächst auf das Mailformular:

Figur 3: Fassung ohne Javascript, aktueller Zustand

Figur 4: Fassung ohne Javascript, Zustand am Freitag vor der Änderung

Hübsch! Nach der Änderung vom Samstag steht hier nicht mehr "http://webmail.euroweb.de/imp/redirect.php" als Empfänger der Daten, sondern eine Raute("#"). Damit gehen die eingegebenen Daten nunmehr nicht im Klartext an "webmail.euroweb.de", sondern an www.euroweb.de - also (diesen "großartigen" Erfolg muss man der Euroweb lassen)  nicht mehr ins Hackerland Bulgarien, sondern in ein Nürnberger Rechenzentrum - das aber nicht der Euroweb gehört.

Aber, wann immer das Opfer dieser unsicheren Praxis (also Euroweb-"Referenzkunden") dieses Formular benutzen, dann gehen die Daten unverschlüsselt durchs Netz und sind von böswilligen Personen (Hacker, Zoll, Polizei, Kinder, Ehegatten - oder Gattinnen, Mitarbeiter, WG-Mitbewohner, Hotelbewohner, Wirt, Betreiber von Lans oder Wlans und deren Mitarbeiter ...) zu lesen, sobald diese die dafür nötige Ausstattung haben und benutzen. Ein Laptop, vielleicht(!) noch ein billiger Switch und Wireshark (kostenlos) genügt.

Für diese "Änderung", die immerhin keine weitere Verschlimmerung darstellt, gibt schon mal ein berechtigtes:

"Dümmer geht es kaum!"

Denn genau dafür gibt es eigentlich das https-Protokoll - und das müsste nur in der URL hinterlegt werden... Das wäre auch kein Problem. Man muss nur wissen, was man zu tun hat. Der Witz ist, der Server "webmail.euroweb.de" beherrscht diese Verschlüsselung, Schlüssel sind hinterlegt und das scheint alles sauber zu funktionieren. Man müsste es also nur wissen und das Wissen dann auch anwenden.

Und das könnte auch die Euroweb, wenn, ja wenn sich diese tolle Firma statt um das Kaufen und anschliesende Bejubeln von Designpreisen und um das Zusammenklicken von Animationen auch mal  um die Sicherheit kümmern würde:
Figur 5: Das ist die aktuelle Fassung des Formulars, das sichtbar wird, wenn Javascript aktiviert ist.

Dieses Formular hat zunächst keine Zieladresse (action="") , also gängen die Daten unverschlüsselt an den Server, auf dem schon das aufgerufene Formular lag. Doch mit dem aktiviertem Javascript wird noch schlimmer:
Figur 6: Mit diesem Skript bekommt das Formular aus Figur 5 eine Zieladresse
Hier wird mit Ajax und anderen Kanonen herumgefuchtelt. Die Daten (hier die Mailadresse) werden durch die Gegend geschickt und zwar zu einem Server, der daraus den vermuteten(!) Name des Webmailservers bastelt. Das dieser längst nicht in allen Fällen stimmt zeigt auch die Figur 7.

Dieser vermutete Name wird dann als Bestandteil der Zieladresse für die Daten in das Formular eingetragen. Als Protokoll steht da "http://" - also schon wieder das falsche, unverschlüsselte. In den meisten Fällen (tatsächliche Mailadresse eines Euroweb-Kunden) mit dem Ergebnis, dass der Browser die unverschlüsselten Daten dann an die Adresse "http://webmail.[MX- oder Domainname des Euroweb-Kunden]./imp/redirekt.php" schickt.

Also unverschlüsselt ins Hackerland Bulgarien, so wie schon am Freitag:
Figur 7: So oder so ähnlich landen die Daten beim Hacker.

Betroffen sind in gleicher Weise auch das Login für den "Counter", den "Editor", das Gästebuch, den Immomanager und das Online-Werbesystem. Die von der Euroweb gemachten und betriebenen Webseiten der Webstyle GmbH und der WAZ-Onlineservice GmbH haben dieselben Probleme.

Für diese Zirkussnummer bekommt die Euroweb Internet GmbH folgenden Anschiss:


"Dümmer geht es nimmer!"


Der Gag!

Figur 8: Das Problem ist der Euroweb bekannt und die Lösung bewusst

Die Euroweb kennt durchaus die Wirkung eines "https", weiß also, das Daten verschlüsselt übertragen werden können und sollen. Es ist wohl eher so, dass diese "tolle" Firma hier grob fahrlässig oder gar vorsätzlich einfachste Sicherheitsregeln ("Transportiere Zugangsdaten nicht unverschlüsselt im Internet") nicht einhält weil, das unterstelle ich hier mal das deren "Spezialisten" in dem selbst inszeniertem  "Javascript und Drupalgefuchtel" gar nicht mehr durchsehen, also nicht wissen was diese eigentlich wo ändern müssten. Statt sich das einzugestehen und die Kunden nicht mehr weiter zu gefährden, in dem die Formulare gelöscht werden, macht die Euroweb einfach weiter. Die offenbar benötigte externe Hilfe holen sich diese "Preisgewinner" auch nicht.


Fazit:

Mit enormen Aufwand, einem ungeheuren Javascript, Ajax - und JQuery-Gefuchtel erreicht die Euroweb nur eines. Nämlich dass deren "Spezialisten" den Durchblick verlieren und das Ergebnis derer Bemühungen die Daten der Kunden gefährdet. Ein Fachmann ist nicht der, der mit gigantischem Aufwand ein Schiff baut, dass gleich untergeht - sondern derjenige der billig und schnell das Schiff baut, mit dem Mensch und Ladung sicher über das Meer kommen. Mit den von der Euroweb gebauten "Flaggschiffen" würde ich nicht mal im flachen Bach schippern wollen. Die Dinger sind zwar reich mit Stuck verziert, mit viel Gold- und Purpurfarbe beschmiert, die bezahlten Claqueure jubelten eifrig beim Stapellauf - aber deren "Schiffe" sind eben nicht dicht.

Empfehlung an die Euroweb-Kunden:

Ändern Sie, wenn Sie das Formular jemals benutzt haben, alle Ihre Passwörter. Diese sind potentiell "gehackt". Wie Sie das tun können erklärt Ihnen "gern" der Euroweb-Kundensupport. Wenn das nicht kostenlos geht, dann kündigen Sie und wenn Ihnen schon wieder eine Adresse eines Webformulars genannt wird, dann sollten Sie erst mal jemanden fragen, ob das sicher ist.

Aber um Gottes Willen nicht die Euroweb. Die labert Bullshit und hat Sie schon mehrfach belogen.

Sinnbild: "Goldener Bullschit": Der Preis fürs größte Werbemaul bei schrottigster Leistung.



12 Kommentare:

fastix hat gesagt…

Was man wohl im Rootserver-Forum dazu sagen würde? hrhrhr!

Nicht, das irgendwer den Badewannenserverkapitänen der Euroweb ähnlich einem Hip Hop Hacker - siehe http://www.lustigestories.de/stories/irc_hacker.php - Tipps gibt. Das wäre echt eine riesige Gemeinheit!

Anonym hat gesagt…

"Denn genau dafür gibt es eigentlich das https-Protokoll - und das müsste vorliegend nur nur in der URL hinterlegt werden"

Einmal "nur" reicht ;)

Schönen Abend noch.

. hat gesagt…

Einmal "nur" reicht ;)

Ich hätte ja gedacht, der Artikel vom Freitag reicht. Aber ehrlich, dass die das NACH dem Artikel nicht korrigieren konnten, das hat mich dann doch etwas "irritiert".

Das doppelte "nur" ist korrigiert.

Anonym hat gesagt…

Und auch noch GET statt POST in Figur 6. Ist also sichtbar in den XMLHTTPRequests was übertragen wird (zb in Firebug). Sehr leicht abzufangen. Normalerweise geht ein Formular auch ohne Javascript.

. hat gesagt…

Und auch noch GET statt POST in Figur 6.

Ja. Prima!

Die Euroweb hat also auch mitgeloggt, welche Mailadressen in das Formular eingegeben wurden.

Die ins Logfile wandernde Request-URL sieht so aus:
http://www.euroweb.de/webmaillogin/user@example.com

Die Antwort übrigens erwartungsgemäß:
{"error":true,"domain":"","host":"www.euroweb.de"}

Da kann man diese jetzt auch dazu verdammen, die betroffenen Kunden einzeln zu warnen.

Anonym hat gesagt…

Wäre die Katastrophe falls man die standardmäßig angelegten Logfiles finden und aufrufen würde und da Passwörter im Klartext drin wären.

Anonym hat gesagt…

"Wäre die Katastrophe falls man die standardmäßig angelegten Logfiles finden und aufrufen würde und da Passwörter im Klartext drin wären."

In der Tat. Es gibt ja wohl Tausende potentiell von Datenmissbrauch geschädigte Referenzkunden. Hier ist also Eile geboten. Am besten sollte man unverzüglich den NRW Datenschutzbeauftragten für den nicht öffentlichen Bereich über die jüngste Schlamperei dieser Webdesignklitsche im Umgang mit Kundendaten in Kenntnis setzen.

https://www.ldi.nrw.de/metanavi_Kontakt/index.php

. hat gesagt…

Die Passwörter landen nach bisheriger Erkenntnis nicht in den Logfiles.

ABER:

Die Euroweb und der "Datenschutz" ist tatsächlich ein Thema, welches ich ganz oben auf der Agenda habe. Das wird sicherlich unangenehm für die Euroweb. Mal sehen, wann ich ein Zeitfenster habe.

Die Euroweb hat also 1 bis 3 Tage lang Gelegenheit nachzuschauen und ihre Praxis zu überprüfen - denn es gibt durchaus Verstöße gegen das Datenschutzgesetz.

Ich muss und werde die Euroweb nicht nochmals vorab informieren, denn ich weiß ja, dass die Euroweb und deren Anwälte hier mitlesen.

Anonym hat gesagt…

Fastix, im Hinblick darauf, dass es potentiell tausende Geschädigte gibt (die Euroweb wirbt in Pressemittelungen mit "über 20.000" Kunden) ist jedoch Eile geboten. Deshalb ist schon jetzt zumindest eine Beschwerde über den laxen Umgang mit Referenzkundendaten bei dem obersten Landesdatenschützer NRW anhängig. Nicht lange lamentieren, machen! So lautet die Devise! ;-)

. hat gesagt…

Nicht lange lamentieren, machen!

Naja.... das sind aber gleich mehrere - und ziemlich grundlegende - Verstöße. Das bedarf einer ausführlichen Begründung auch technischer Art.

Und dann will ich ja nicht, dass mir die Euroweb mit der Nummer kommt, diese habe keine Gelegenheit gehabt, selbst Stellung zu beziehen.

Anonym hat gesagt…

"Und dann will ich ja nicht, dass mir die Euroweb mit der Nummer kommt, diese habe keine Gelegenheit gehabt, selbst Stellung zu beziehen."

Na und? Kann sie Dir gerne mitteilen, keine Gelegenheit gehabt zu haben. Nur, es gibt ein Gefährdungspotential tausender Referenzkunden und das sollte wichtig sein. An der Stelle sollte auch auf den hintersten Bänken klar sein, jeder hat das Recht und die Pflicht dazu, zuständige staatl. Stellen über gewisse Versäumnisse in Kenntnis zu setzen. Und für mich ist die Euroweb an der Stelle auf einer Stufe mit Lidl & co.

Wollen wir an dieser Stelle mal darauf hoffen, dass die hier zuständige Landesdatenschutzaufsicht für den nicht öffentlichen Bereich NRW die Verantwortlichen bei der Euroweb in der nächsten Zeit zur Vernunft bringen möge. Die Webentwickler/Webhoster sollten sich, falls sie sich derzeit nicht selbst zu helfen wissen, Datenschutzverstöße auf ihren Serversystemen rechtzeitig vor dem Einschreiten staatl. Stellen zu beenden, sachkundige Hilfe von Aussen heranziehen.

Im für die Euroweb schlimmsten Falle können bei Datenschutzverstößen 250.000 Euro Bußgeld, ersatzweise 6 Monate Ordnungshaft für die Geschäftsleitung drohen, falls diese nicht zum Einlenken bereit sind. In dem Fall kann man sagen: Pech gehabt! ;-)

Anonym hat gesagt…

"Naja.... das sind aber gleich mehrere - und ziemlich grundlegende - Verstöße. Das bedarf einer ausführlichen Begründung auch technischer Art."

Reich doch eine zusätzliche Beschwerde ein. ;-)

https://www.ldi.nrw.de/metanavi_Kontakt/index.php

Kommentar veröffentlichen