19.08.2014

Ruhrgebiet OnlineServices - Unsichere Logins bei Euroweb-Partner

Wenn man, wie auf der Webseite der Ruhrgebiet-Onlineservices das Login, z.B. zum Webshop aufruft, dann erh├Ąlt gelangt man zu folgender URL

http://www.ruhrgebiet-onlineservices.de/logins/login-shop.php

Diese liefert eine Webseite mit folgendem Formular:



Ein Blick in den Quelltext offenbart einen ├╝blen Fehler im "Sicherheitsdesign":


Die leere Action-Eigenschaft bedeutet, dass die Eingaben zu der oben genannten URL zur├╝ck geschickt werden. Daraus folgt dann, dass das unverschl├╝sselte HTTP-Protokoll benutzt wird. Demnach begeben sich Benutzer dieses Formulars in die Gefahr, dass deren Benutzername und Passwort von Dritten "abgeh├Ârt" und dann missbraucht wird.

Gesch├Ąftsf├╝hrer der "Ruhrgebiet OnlineServices" ist der von der Euroweb Internet GmbH bekannte Daniel Fratzscher. Diese Firma sitzt auch in den gleichen R├Ąumlichkeiten wie die Euroweb. Gehostet wird, wie die Webseiten der Euroweb-Kunden auch, in Bulgarien - was v├Âllig unsinnig ist und hier das Sicherheitsproblem enorm versch├Ąrft - gehen die Daten doch zu einem Server mit der IP 94.156.146.21,



also in ein B├╝ro- und Gesch├Ąftshaus in Bulgarien und damit in ein Land, in welchem (zumindest im europ├Ąischen Vergleich) die Internetkriminalt├Ąt enorm hoch ist.




Ich hatte die Euroweb Internet GmbH, welche auch f├╝r diese Webseiten als Konzern technisch verantwortlich ist, schon im Jahr 2012 auf ein identisches Risiko hingewiesen. Zum Dank wurde ich von denen auf eine garstige und l├Ącherliche Weise verklagt - wof├╝r diese auf den Kosten sitzen blieben.

Ich kann den betroffenen Kunden nur raten, bis zu einer Ver├Ąnderung des Zustandes das Login nicht zu benutzen und die Ruhrgebiet OnlineServices auf Schadensersatz in Anspruch zu nehmen.

Alternativ kommt eine fristlose K├╝ndigung in Betracht. Denn bei einem solch groben "Kindergartenfehler" muss das Vertrauen darin, dass die "Ruhrgebiet OnlineServices" so etwas wie einen Webshop betreiben kann, vollst├Ąndig "ausgenullt" sein.

Kommentare:

Elektropick hat gesagt…

... Sehr interessant und gut zu wissen. Das ist etwas, worauf die Internet-Userschaft wahrscheinlich ├Âfter Achten sollte. Ich selbst frage mich an dieser Stelle, wie genau du das entdeckt hast. Wobei das wahrscheinlich dein Geheimnis ist, und vllt auch deins bleiben sollte... (Vllt hast du auch einfach nur mal in den Quelltext geschaut und joa...). Gibt bestimmt viele Seiten, denen es ├Ąhnlich ergeht. Grade beim Login sparen viele "Heimbastler" bei ihrer Website, da sonst ja sonst was f├╝r Komplexe (und meist schon irgendwo im Netz bestehende, man m├╝sste sie nur mal suchen) Scriptings n├Âtig w├Ąren um das Ganze ordnungsgem├Ą├č ans laufen zu bringen.

LG
Benny

PS.: meine Meinung ist halt meine Meinung. So seh ich das nunmal

. hat gesagt…

"(Vllt hast du auch einfach nur mal in den Quelltext geschaut und joa...)"

Ja, klar. Wie ich schon schrieb: "Ein Blick in den Quelltext offenbart einen ├╝blen Fehler im "Sicherheitsdesign" - Das Resultat muss man nur mit der URL (Protokoll: HTTP und nicht HTTPS) und Grundlagenwissen kombinieren.

"Grade beim Login sparen viele "Heimbastler" bei ihrer Website,"

Richtig. Das was ich fand ist "Heimbastler-Niveau". Oder sogar noch darunter.

Anonym hat gesagt…

"Heimbastler-Niveau"? Nene, das ist schon tiefer gesunken, als alles andere. Man m├╝sste deshalb eine neue Ma├čeinheit erfinden. D├╝rfte man vorschlagen, Webdesign-Chaos in Preu├č u. justizielle Unf├Ąhigkeit deluxe in Berger zu berechnen?^^

Kommentar ver├Âffentlichen