06.10.2012

Euroweb-Kunden leben gef├Ąhrlich!

Kunden, die der gro├čfressigen Werbung der Euroweb Internet GmbH Glauben schenken, leben sehr gef├Ąhrlich. Diesen bietet das D├╝sseldorfer "Vorzeigeunternehmen" ein "h├╝bsches" Login-Feld an:


Die in dieses Formular eingegebenen Benutzernamen und Passw├Ârter sind in einem ├╝blicherweise unverschl├╝sselten Netzwerk jedenfalls von  jedem abzugreifen, der bei mir ein Linux-Seminar mit dem Schwerpunkt "Netzwerk" belegt hat. Auch in Apache-, PHP- oder Perl-Seminaren ist das ein Thema. In Sicherheitsseminaren ohnehin.

Das glauben Sie mir nicht, weil die Euroweb in der Selbstdarstellung eine tolle, gro├če Firma ist, die dauernd Preise "gewinnt"?

Euroweb-Webmail-Login: Sieht zwar gut aus, ist aber gef├Ąhrlich!
Hier der Quelltext des Login-Feldes f├╝r das Webmail-Login (im obigen Bild unten in der Mitte):


Ach Sie glauben das immer noch nicht? Ich kann das noch gr├Â├čer zeigen:


Das bedeutet f├╝r den Wissenden: Das einzugebende Passwort wird mit dem unverschl├╝sselten HTTP-Protokoll - also im Klartext - ├╝bertragen. Nach dem die Euroweb dem Hacker diesen Einbruch ausgerechnet in das Mailkonto so ├╝beraus leicht gemacht hat kann er leicht und locker weitere Zug├Ąnge dieses armen Schweines knacken, welches nach s├╝├čen Worten und dem falschen Versprechen wahrer "Web-Heldentaten" durch die Dr├╝cker ein ganz toller doll ├╝bervorteilter Euroweb-Referenz-Kunde geworden ist.

Selbst wenn die Euroweb-Kunden diese Seite innerhalb eines verschl├╝sselten WLANs (Hotel, Internetcafe, Gastzugang in Firma) benutzen, dann kann immer noch der Betreiber des WLANS die Daten sehen - der muss das nur wollen. Und es wird immer wieder vor den Betreibern von WLANS gewarnt, welche z.B. durch den Name (SSID, s. unten) vort├Ąuschen, es handele sich um ein ├Âffentliches WLAN eines gro├čen Anbieters, dem man vertrauen k├Ânne. ├ťber das, was die Euroweb hier bietet, haben schon ganze Hackerkongresse herzlich gelacht.

Der Stand der Technik ist das ├╝brigens nicht... der sieht definitiv eine Verschl├╝sselung eines jeden Anmeldevorganges vor, bei dem Passw├Ârter ├╝bertragen werden.

Der Beweis:

Die bei der Anmeldung ├╝bertragenen Daten im Hackerblick (gemacht mit dem freien Programm "wireshark"):

Unten ist sehr gut zu sehen, dass der Benutzername "test@example.com" und das Passwort "test" als reiner Text ├╝bertragen wurden. In einem Firmen- oder Hotelnetz k├Ânnte der Benutzer jetzt praktisch "nackt" sein, weil sein Mailkonto geknackt w├Ąre.

F├╝r den Preis, den die Euroweb verlangt, ist das reichlich unsicher! Mehr Sicherheit bieten andere Anbieter f├╝r wenig Geld oder sogar ganz kostenlos. 

Die Anmeldung am Euroweb-Webmail-Konto ist wegen der extremen Sicherheitsl├╝cke zu meiden!

Bei den Schwester- und Tochterfirmen WAZ-Onlineservice und Webstyle finden sich hinter "Kundenlogin" ebenfalls Formulare, die daf├╝r sorgen, dass die eingegeben Daten im Klartext ├╝bertragen werden.  Auch wenn es sich nicht um Mailkonten handelt ist damit die Gefahr verbunden, dass die Daten (Benutzername und Passwort) in unbefugte H├Ąnde geraten. Gerade durch "wiederverwendete" Passw├Ârter besteht hier wom├Âglich eine erhebliche Gefahr!

Fazit: "Nett!" - F├╝r den Profit der Euroweb, die sich offensichtlich die Besch├Ąftigung tats├Ąchlicher Spezialisten erspart. "Nett" f├╝r kriminelle Hacker, denen die Euroweb nicht etwa eine "Sicherheitsl├╝cke" sondern ein "Sicherheitsscheunentor" pr├Ąsentiert. Nicht "nett" sondern gef├Ąhrlich f├╝r die in der gro├čfressigen Euroweb-Werbung (diese Zahl wird bezweifelt!) genannten 20.000 Kunden - die hier f├╝r viel Geld  eine "Leistung" erhalten, die eines unwissenden Sch├╝lers, unbedarften Lehrlings oder sonstigen Anf├Ąngers w├╝rdig w├Ąre. Die Euroweb nennt es "Arbeit von Spezialisten".


Das "Beste" kommt zum Schluss!

Der Server "mail.euroweb.de" steht in einem Rechenzentrum der Firma Neterra im "Hackerland"  Bulgarien!

Mit der Konsequenz, dass in dem Land - in dem nicht die "teutonische Rechtssicherheit" herrscht - ein Hacker wom├Âglich auch nur das Programm wireshark anwerfen muss um an die Daten aller Euroweb-Kunden zu kommen.

Der Euroweb-QR-Code, der zu diesem Artikel f├╝hrt...


Ganz garstige Hacker k├Ânnen sogar den "Euroweb-Codegenerator" (der wahrscheinlich auf freeware oder der Google-Chart-Api beruht) nutzen um sp├Ąteren Opfern ein WLAN anzubieten und dann die Daten "abzugreifen" ...


Wie das geht mache ich gerne vor. Allerdings erwarte ich daf├╝r eine Gegenleistung.

Kommentare:

Anonym hat gesagt…

Hehe :-)

Langsam wir es Zeit Dich um Gnade zu bitten. Du trittst denen mit den Artikeln regelrecht "den Arsch" weg.

Anonym hat gesagt…

"Langsam wir es Zeit Dich um Gnade zu bitten. Du trittst denen mit den Artikeln regelrecht "den Arsch" weg."

Das wird nie passieren. Eher gefriert die H├Âlle zu, als das sich die Euronepper, Rechtsanw├Ąltin Gisela Phillipp Berger und/oder sonstwer um Gnade bettelnd hier melden w├╝rden. Daf├╝r sind sie viel zu feige. Verstecken sich gar hinter einem vermeindlich anonymen Hassblog! Das spricht doch B├Ąnde.

. hat gesagt…

Der richtige Gag an der Sache ist, dass das Problem mit geringstem(!) Aufwand zu beseitigen ist, es ist nur an ein paar Stellen ein Buchstabe einzuf├╝gen.

Hier versagt also nicht nur der Ersteller der Webseite, sondern vor allem die Qualit├Ątssicherung - sofern es bei der Euroweb derlei ├╝berhaupt gibt. Und falls es das gibt, so spreche ich diesen die Bezeichnung "Spezialisten" ab.

Im Anbetracht der hohen Preise sage ich: "Bei der Euroweb bekommt man einen h├╝bsch lackierten chinesischen Kleinwagen, (der den europ├Ąischen oder amerikanischen Crashtest niemals bestehen w├╝rde) f├╝r den Preis eines Mercedes SL" - und dass das Ding nur geleast ist wird dem Kunde auch nicht so ganz offen mitgeteilt, sondern dem wird gesagt, der bekomme den "Mercedes" hingestellt und m├╝sse den "nur tanken".

. hat gesagt…

Aus einem Mail:

"Sch├Ân.

Wenn das so ist, wie ich das oben lese, und wenn das Problem wirklich durch die Missachtung grundlegender Sicherheitsregeln und durch die Missachtung des Standes der Technik entstand, dann kann ich meinen Mandanten wohl raten die Euroweb im Gegenzug zu deren Forderung auf Schadensersatz in Anspruch zu nehmen.

Immerhin haben meine Mandanten, soweit dieses Login benutzt wurde, jetzt den Aufwand, alle Passw├Ârter f├╝r jeden jemals benutzten Dienst zu ├Ąndern und m├╝ssen au├čerdem die Seite http://webmail.euroweb.net irgendwie sperren, wozu sicherlich externe Hilfe n├Âtig ist.

Das wird aber ganz sch├Ân teuer!"

Anonym hat gesagt…

Ich w├╝rde sogar zu Schmerzensgeldforderungen raten. Aus "seelische Grausamkeit" lie├če sich ja bestimmt so einiges machen.

Anonym hat gesagt…

Hier ein Hileferuf wer kann helfen bin bei WEBSTYL reingefallen

Kommentar ver├Âffentlichen