19.08.2014

Ruhrgebiet OnlineServices - Unsichere Logins bei Euroweb-Partner

Wenn man, wie auf der Webseite der Ruhrgebiet-Onlineservices das Login, z.B. zum Webshop aufruft, dann erhÀlt gelangt man zu folgender URL

http://www.ruhrgebiet-onlineservices.de/logins/login-shop.php

Diese liefert eine Webseite mit folgendem Formular:



Ein Blick in den Quelltext offenbart einen ĂŒblen Fehler im "Sicherheitsdesign":


Die leere Action-Eigenschaft bedeutet, dass die Eingaben zu der oben genannten URL zurĂŒck geschickt werden. Daraus folgt dann, dass das unverschlĂŒsselte HTTP-Protokoll benutzt wird. Demnach begeben sich Benutzer dieses Formulars in die Gefahr, dass deren Benutzername und Passwort von Dritten "abgehört" und dann missbraucht wird.

GeschĂ€ftsfĂŒhrer der "Ruhrgebiet OnlineServices" ist der von der Euroweb Internet GmbH bekannte Daniel Fratzscher. Diese Firma sitzt auch in den gleichen RĂ€umlichkeiten wie die Euroweb. Gehostet wird, wie die Webseiten der Euroweb-Kunden auch, in Bulgarien - was völlig unsinnig ist und hier das Sicherheitsproblem enorm verschĂ€rft - gehen die Daten doch zu einem Server mit der IP 94.156.146.21,



also in ein BĂŒro- und GeschĂ€ftshaus in Bulgarien und damit in ein Land, in welchem (zumindest im europĂ€ischen Vergleich) die InternetkriminaltĂ€t enorm hoch ist.




Ich hatte die Euroweb Internet GmbH, welche auch fĂŒr diese Webseiten als Konzern technisch verantwortlich ist, schon im Jahr 2012 auf ein identisches Risiko hingewiesen. Zum Dank wurde ich von denen auf eine garstige und lĂ€cherliche Weise verklagt - wofĂŒr diese auf den Kosten sitzen blieben.

Ich kann den betroffenen Kunden nur raten, bis zu einer VerÀnderung des Zustandes das Login nicht zu benutzen und die Ruhrgebiet OnlineServices auf Schadensersatz in Anspruch zu nehmen.

Alternativ kommt eine fristlose KĂŒndigung in Betracht. Denn bei einem solch groben "Kindergartenfehler" muss das Vertrauen darin, dass die "Ruhrgebiet OnlineServices" so etwas wie einen Webshop betreiben kann, vollstĂ€ndig "ausgenullt" sein.

Kommentare:

Elektropick hat gesagt…

... Sehr interessant und gut zu wissen. Das ist etwas, worauf die Internet-Userschaft wahrscheinlich öfter Achten sollte. Ich selbst frage mich an dieser Stelle, wie genau du das entdeckt hast. Wobei das wahrscheinlich dein Geheimnis ist, und vllt auch deins bleiben sollte... (Vllt hast du auch einfach nur mal in den Quelltext geschaut und joa...). Gibt bestimmt viele Seiten, denen es Ă€hnlich ergeht. Grade beim Login sparen viele "Heimbastler" bei ihrer Website, da sonst ja sonst was fĂŒr Komplexe (und meist schon irgendwo im Netz bestehende, man mĂŒsste sie nur mal suchen) Scriptings nötig wĂ€ren um das Ganze ordnungsgemĂ€ĂŸ ans laufen zu bringen.

LG
Benny

PS.: meine Meinung ist halt meine Meinung. So seh ich das nunmal

. hat gesagt…

"(Vllt hast du auch einfach nur mal in den Quelltext geschaut und joa...)"

Ja, klar. Wie ich schon schrieb: "Ein Blick in den Quelltext offenbart einen ĂŒblen Fehler im "Sicherheitsdesign" - Das Resultat muss man nur mit der URL (Protokoll: HTTP und nicht HTTPS) und Grundlagenwissen kombinieren.

"Grade beim Login sparen viele "Heimbastler" bei ihrer Website,"

Richtig. Das was ich fand ist "Heimbastler-Niveau". Oder sogar noch darunter.

Anonym hat gesagt…

"Heimbastler-Niveau"? Nene, das ist schon tiefer gesunken, als alles andere. Man mĂŒsste deshalb eine neue Maßeinheit erfinden. DĂŒrfte man vorschlagen, Webdesign-Chaos in Preuß u. justizielle UnfĂ€higkeit deluxe in Berger zu berechnen?^^

Kommentar veröffentlichen