Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Der texanische Server soll im Netz so offen wie ein Scheunentor gestanden haben. Boris Koch und Carsten Hoppe haben einen Crawler geschrieben und benutzt, der ähnlich wie die Google Hacking Database von Johnny Long funktioniert. Der Crawler soll auch mit dem Goolag Scanner der populären Hackergruppe Cult of the Dead Cow vergleichbar sein. Das Programm klopft den ganzen Tag lang alle möglichen Webseiten auf bestehende Sicherheitslücken hin ab. Passwörter werden nicht versucht nach der Brute-Force-Methode zu knacken - so tief dringt das Tool nicht in die Daten Dritter ein. Wird der Crawler fündig, benachrichtigen die Jungs von Datenfahndung.de die zumeist ahnungslosen Geschäftsführer. So auch im Fall von Citrolim.
Das Unternehmen setzt einen IIS-Server aus dem Hause Microsoft ein. Neben der Firmenwebseite befinden sich an gleicher Stelle auch die sensiblen Daten des Unternehmens. Angeblich sollen auf dem Server in Texas sogar auszugsweise die überaus geheimen Zutaten von Coca Cola beziehungsweise Pepsi Cola einsehbar gewesen sein. Die Datenschützer berichten, Citrolim würde im Auftrag beider Konkurrenten neue Geschmacks- und Geruchsstoffe testen. Bei Gefallen würde man diese damit beliefern.
Gefallen haben wird es dem CEO David Readhimer wohl kaum, als die Datenfahnder bei ihm telefonisch durchklingelten. Danach benötigten die Citrolim-Techniker weitere zwei Tage (!), um die Lücke endlich stopfen zu können. Durch den zuvor ungesicherten IIS-Server konnte man ohne jede Passwortabfrage auf zahlreiche höchst interne Daten zugreifen. So auch die geschäftlichen Kontoauszüge von zwei Jahren, Details zu diversen Kreditkarten, Überweisungen, Kundenlisten, die komplette Korrespondenz per E-Mail etc. etc. Verfügbar waren auch aufgezeichnete Telefonate per Skype, wo beispielsweise der CEO Readhimer mit Kunden oder anderen Unternehmenspartnern telefoniert hat. Boris Koch und Karsten Hoppe dazu: "Diese Files haben wir uns in den Mediaplayer geladen und konnten somit alles anhören, was firmen- und kundenintern besprochen wurde." Sogar Zahlungen, Überweisungen, Abrechnungen und Lieferscheine der Coca Cola Company und PepsiCo selbst sollen sich auf dem ungeschützten Server befunden haben, so die Koch & Hoppe weiter. "Wären wir böse Buben, dann hätten wir Pepsi die Daten von Cola geschickt und umgekehrt. Da wir seriös sind, nicht illegal handeln, die Daten weder verkaufen, weiterverbreiten oder sonstigen Schmu damit anstellen, haben wir auch alle Daten auf unserem PC gelöscht. Außerdem sprechen wir die CEOs oder die Leiter der IT-Abteilungen an. Erst wenn die Lücke definitiv geschlossen wurde, berichten wir darüber."
Im konkreten Fall gab es auch ein Angebot, den Bug vor Ort zu fixen, sollte das Unternehmen einem der Beteiligten den Flug bezahlen. Anfangs wollte man in Texas der Geschichte keinem Glauben schenken. "Der Geschäftsführer hat sich dann zwei Tage lang nicht gemeldet. Erst als wir ihn wieder angerufen haben, war er ziemlich wütend, da ihm sein IT'ler wohl beichten musste, welch brisante Daten ihm dort abhandengekommen sind. Ein Dankeschön haben wir nicht erhalten. Naja, brauchten wir auch nicht. Uns geht es um die Berichterstattung, mehr nicht. Wir stellen keine Geldforderungen, wir sind (noch) kein Unternehmen und wir gehen unseren Job vorsichtig und bewusst an." Sie verweisen in dem Zusammenhang auf den 20-jährigen Hacker, der nach der Meldung, er hätte angeblich SchülerVZ erpresst - was, wie Indizien mittlerweile andeuten, wahrscheinlich eine Falschmeldung war - Selbstmord beging.
Wir zeigen in der Bildergalerie (ganz unten) als Beweis drei geschwärzte Scans der Dokumente. Den White-Hats liegen noch zahlreiche weitere vor. Die beiden Aktivisten sehen sich selbst nicht als Hacker, weil sie bei ihrer Recherche keinen Schutz umgehen. Der Hackerparagraf kommt demnach auch nicht zum Einsatz. Ihre Suche nach Bugs könnte mit dem nötigen Zeitaufwand rein theoretisch auch mit jedem regulären Browser durchgeführt werden. Klar ist aber auch: Diejenigen die von der Sicherheitslücke etwas wussten, hätten in vollem Umfang alle Informationen einsehen können.
Boris Koch und Carsten Hoppe haben mit ihrer Methode mittlerweile vier weitere Sicherheitslücken entdeckt. Es soll sich teilweise um Unternehmen auf Augenhöhe mit PepsiCo und der Coca Cola Company handeln. "Was sind schon Daten von SchülerVZ im Vergleich zu Wirtschaftsdaten oder Infos von Börseninsidern?" Zu guter letzt legen die beiden noch etwas Aufklärung nach: "Wer das Budget nicht in IT Security steckt und die Mitarbeiter nicht hinreichend schult, wer keine Übersicht mehr hat über seine IT-Systemlandschaft, der sollte schnell umdenken und sich Rat holen. Firmen, die Security Audits durchführen, gibt es wie Sand am Meer." Sie raten dazu, sich lieber auf die Angebote unabhängiger Firmen zu verlassen, die der eigenen IT-Abteilung auf die Finger schauen können.
Lars Sobiraj am Donnerstag, 12.11.2009 15:09 Uhr
Tags:
schülervz
Das ganze ist IMO ohnehin eher fragwürdig. Da wurde einfach mal mehr dargestellt, als es eigentlic ist... naja, wenn man windows als server benutzt, sollte man sich nicht wundern... Was Microsoft damit zu tun hat, dass die Admins offensichtlich unfähig sind, musst du ...
also das die firma zugriff auf die rezepte hat halte ich mal für unglaubwürdig... das soll doch so super geheim sein, da werden die das nicht einer drittfirma überlassen (man weiss ja wie schnell irgentwas leakt, sie x-man origins oder cod mw2) naja, wenn man windows als server benutzt, sollte m ...
So auf www.datenfahnung.de zu lesen! Ganz schwach Ghandy auch du musst nun schon in die Märchenkiste greifen Die Rezepte von Coca Cola sind nicht patentiert (was auch eine doofe Idee wäre, weil ein Patent heute längst abgelaufen und das Rezept damit öf ...
Eben. Es dauert auch "nur" tausend Stunden, bis man irgendwann tatsächlich beim Surfen auf einen Server mit einer Sicherheitslücke trifft. Natürlich wäre das theoretisch auch ohne jedes Tool möglich. ...
Immer wieder schön zu sehen wenn Leute glauben, dass sie sich öffentlich produzieren müssen, ohne auch nur einen Hauch Ahnung von den Hintergründen zu haben. Aber bitte, immer weiter so. Ich setzt mich heute auch mal hin und grasse peer Hand nen paar millionen S ...
Lars Sobiraj am 20.05.2012, 16:54 Uhr
Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
